CISAは、既知の悪用された脆弱性(KEV)カタログに18年前のCisco IOS脆弱性を追加し、2008年に初めて公表された欠陥が現在も積極的に悪用されていることを確認しました。
CVE-2008-4128として追跡されているこの脆弱性はCisco IOS 12.4に影響し、パッチが適用されないまま放置されたレガシーなネットワーク機器の欠陥が、数十年を経てもなお有効な攻撃経路になり得ることを示しています。
CVE-2008-4128は、CWE-352に分類されるクロスサイトリクエストフォージェリ(CSRF)の脆弱性で、Cisco IOS 12.4のHTTP管理インターフェースに存在します。
この欠陥により、リモートの攻撃者は次の2通りの攻撃経路を通じて、影響を受けるデバイス上で任意のコマンドを実行できます。
これらのリクエストは、認証済みの管理者のブラウザセッションに対してデバイスが置いている信頼を悪用するものであるため、攻撃者はログイン中のネットワーク管理者を騙し、本人が気づかないまま偽造リクエストを送信させることができます。
この攻撃が成功すると、攻撃者は権限レベル15、つまり事実上のフル管理者権限を、認証情報を直接盗み出すことなく取得します。
CVE-2008-4128が再び注目を集めていることは、ネットワークセキュリティにおける根深い問題を浮き彫りにしています。古いIOSバージョンを稼働させ続けているレガシー機器は、「安定稼働している」あるいは「業務上重要である」とみなされ、パッチ適用の優先順位が下げられがちです。その結果、公開されたHTTP管理インターフェースを探し回る攻撃者にとって格好の標的となっています。
CISAによるKEV追加は積極的な悪用の存在を裏付けるものですが、この脆弱性がランサムウェアキャンペーンに利用されているかどうかは、現時点では不明です。
CISAはこの脆弱性をKEVカタログに追加したのは2026年7月13日で、修正期限は2026年7月16日とされており、連邦政府機関および関連組織には対応までわずか3日間しか猶予がありません。
Cisco IOS 12.4を依然として稼働させている組織は、不要であればHTTPサーバー機能を完全に無効化するか、少なくともアクセス制御リスト(ACL)によって管理インターフェースへのアクセスを制限し、強力な認証を伴うHTTPSを強制すべきです。
ネットワークチームはまた、デバイス設定内に予期しないaliasのexecコマンドや権限昇格がないか監査すべきです。これらは過去の悪用の試みを示している可能性があります。
翻訳元: https://cyberpress.org/18-year-old-cisco-ios-vulnerability-exploited/