米シスコシステムズは10月16日(米国時間)、「Multiple Vulnerabilities in Cisco IOS XE Software Web UI Feature」において、ネットワークOS「Cisco IOS XE Software」のWeb UIに深刻度が緊急(Critical)の脆弱性(CVE-2023-20198)が存在すると伝えた。この脆弱性はすでに悪用が確認されていたが、シスコから情報が公開された段階ではまだアップデートの提供が行われていなかった(参考「シスコ製品にCVSS 10.0の緊急脆弱性、確認と対応を | TECH+(テックプラス)」)。

その後、さらに別の脆弱性(CVE-2023-20273)の存在が明らかになった。サイバー攻撃者はこの2つの脆弱性を悪用して該当デバイスに侵入していることが明らかになっている。シスコは上記のセキュリティ・アドバイザリを繰り返しアップデートして、情報の更新を続けている(参考「シスコのIOS XE Softwareのセキュリティ問題続く、追加で重大な脆弱性が発覚 | TECH+(テックプラス)」)。

  • Multiple Vulnerabilities in Cisco IOS XE Software Web UI Feature

    Multiple Vulnerabilities in Cisco IOS XE Software Web UI Feature

しかし、状況は依然として改善していない。セキュリティベンダーは「Cisco IOS XE Software」の脆弱性「CVE-2023-20198」「CVE-2023-20273」を介して侵害を受けたデバイスの数が一気に激減したと報告しているが、これはサイバー攻撃者が侵害したデバイスにおけるインプラントを更新して検出しにくくしたためと指摘されている。

このため、先ほどのセキュリティ・アドバイザリを確認したタイミングによっては、自社で管理しているデバイスが「侵害を受けていない」と判断したものの、侵害を受けているタイミングが存在していたことになる。

本稿執筆時点で、シスコは、curlを使った次のコマンドにより、攻撃者から侵害されてインプラントが埋め込まれているかどうを確認できるとしている。

インプラント確認の方法

curl -k -H "Authorization: 0ff4fbf0ecffa77ce8d3852a29263e263838e9bb" -X POST "https://systemip/webui/logoutconfirm.html?logon_hash=1"

この確認方法はCisco Talosが提供したもので、詳細は「Multiple Vulnerabilities in Cisco IOS XE Software Web UI Feature」において確認できる。

本稿j執筆時点でも、かなりの数のデバイスが対象の脆弱性の影響を受けていると推測されている。修正版が公開されたバージョンが限られていることから、該当するデバイスを使用している場合は、再度セキュリティ・アドバイザリの内容を確認して侵害の有無をチェックするとともに、緩和策の実施と修正版がリリースされた際のアップデート計画を立案しておくことが望まれる(参考「シスコのネットワークOS「 IOS XE」に複数の重大な脆弱性、すぐに更新を | TECH+(テックプラス)」)。