Ciscoは、Cisco IOS XEソフトウェアのWebユーザーインターフェース(Web UI)機能に存在する重大な脆弱性が現在悪用されていることについて、緊急の警告を発出しました。
同社は、影響を受ける組織に対し、10月16日に公開したアドバイザリに記載されたガイダンスを直ちに実施し、脅威を緩和するよう強く求めています。
この脆弱性は、CVE-2023-20198で、CVSSの深刻度評価は最高の10です。悪用に成功すると、攻撃者は影響を受けるデバイス上に特権レベル15のアクセス権を持つアカウントを作成できます。これにより、侵害されたデバイスを実質的に完全に制御できるようになり、その後の不正な活動への道が開かれます。
この欠陥は、HTTPまたはHTTPSサーバー機能が有効になっているCisco IOS XEソフトウェアを実行する物理デバイスおよび仮想デバイスの両方に影響します。
また、悪用が発生するには、ソフトウェアがインターネットまたは信頼できないネットワークに公開されている必要があります。
悪用が発生する仕組み
Cisco Talosは、2023年9月28日から10月1日にかけて、顧客デバイス上で潜在的に悪意のある活動の証拠を最初に発見しました。
10月12日、同チームは関連する活動の追加クラスターを検知し、2つ目の不審なIPアドレスから、権限のないユーザーが「cisco_support」という名前でローカルユーザーアカウントを作成している様子が確認されました。
この活動には、設定ファイルからなるインプラントの展開など、いくつかの後続アクションが含まれていました。この設定ファイルは、インプラントとやり取りするために使用される新しいWebサーバーのエンドポイントを定義しており、このエンドポイントは、システムレベルまたはIOSレベルで任意のコマンドを実行できるようにする特定のパラメータを受け取ります。
このインプラントによって作成された新しいユーザーアカウントにより、攻撃者はデバイスへの完全な管理者アクセスを得ます。
Ciscoは、これらの活動クラスターは同一の攻撃者によって実行された可能性が高いと考えています。
脆弱性を緩和する方法
Ciscoは、IOS XEソフトウェアを使用する組織が悪用を緩和するための以下の推奨事項を示しました。
- インターネットに公開されているすべてのシステムでHTTPサーバー機能を無効化する。これは、インターネットに公開された管理インターフェースによるリスクを緩和するために、米国政府が過去に提示してきたガイダンスとも一致します。
- この脅威に関連する潜在的に悪意のある活動の証拠として、デバイス上の不明なユーザーや新規に作成されたユーザーを確認する。Ciscoは、インプラントの有無を特定するために、デバイスに対してコマンドcurl ‘-k -X POST “https[:]//DEVICEIP/webui/logoutconfirm.html?logon_hash=1″’を実行するよう助言しました。
- より多くの情報が入手可能になるにつれて、悪用状況や公開発表に関するさらなる更新について、Ciscoのアドバイザリの監視を継続する。
翻訳元: https://www.infosecurity-magazine.com/news/cisco-critical-vulnerability-ios/
