概要
今月、Cisco は実際の攻撃に活発に悪用されている2つの脆弱性 CVE-2023-20198、CVE-2023-20273 へのセキュリティ勧告を発表した。
脆弱性は Cisco IOS XE Software の Web UI で発生する。
CVE-2023-20198 脆弱性は、認証されていない攻撃者が最上位のアクセス権限である権限レベル15のアカウントを作成し、システムを制御することができる。CVE-2023-20273 脆弱性は、コマンド注入を実行して悪意のある内容をファイルシステムに書き込むことができる。それぞれ CVSS スコア10.0/7.2を割り当てられた。
影響を受ける製品
Cisco IOS XE Software の Web UI 機能が有効化されているなら影響を受ける。Web UI は以下のコマンドを通して有効化される。
ip http server
ip http secure-server
そのため、以下のコマンドで製品の Web UI 有効化有無を確認できる。
show running-config | include ip http server|secure|active
例)
| Router# show running-config | include ip http server|secure|active ip http server ip http secure-server |
上記のコマンドに対する結果が1つ以上出れば、Web UI 機能が有効化されていると判断できる。
※ ip http server コマンドが存在し、ip http active-session-modules none も含まれている場合、HTTP を通して CVE-2023-20198 脆弱性を悪用できない
※ ip http secure-server コマンドが存在し、ip http secure-active-session-modules none も含まれている場合、HTTPS を通して CVE-2023-20198 脆弱性を悪用できない
緩和措置
1. すべてのインターネット接続システムで HTTP サーバー機能を無効化
– HTTP サーバー使用時 : no ip http server コマンド適用
– HTTPS サーバー使用時 : no ip http secure-server コマンド適用
2. サービスへのアクセスを信頼できるネットワークに制限
信頼できるネットワーク(192.168.0.0/24)のみアクセスを許可するアクセスリストの例)
| ! ip http access-class 75 ip http secure-server ! access-list 75 permit 192.168.0.0 0.0.0.255 access-list 75 deny any ! |
※ 最新バージョンの Cisco IOS XE でアクセスリストを適用するには ip http access-class ipv4 75 コマンドを使用
※ Filter Traffic Destined to Cisco IOS XE Devices WebUI Using an Access List 参照
侵害指標
1. システムログで cisco_tac_admin、cisco_support またはネットワーク管理者に知られていないローカルユーザーがいるかを確認する。
| %SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as {user} on line %SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: {user}] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023 |
2. システムログで予想されるファイルインストールタスクと関連のないファイル名があるかを確認する。
| %WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD {filename} |
3. システム内の攻撃者と相互関係のためのエンドポイント定義ファイル(Implant)が存在しているかいないかを確認するために以下のコマンドを実行する。
curl -k -H “Authorization: 0ff4fbf0ecffa77ce8d3852a29263e263838e9bb” -X POST “https://{your_systemip}/webui/logoutconfirm.html?logon_hash=1″
コマンドの実行後、応答で16進数文字列が返される場合、Implant が存在していると判断できる。
※ 上記のコマンドは、当システムへのアクセス権限があるワークステーションで実行されなければならない
セキュリティパッチ
Cisco は10月22日から一部の製品に関するセキュリティパッチ(Bug ID : CSCwh87343)を提供している。影響を受ける別の製品のパッチは今後提供される予定である。
| ベースリリース | リリースされたバージョン [ベースリリース + CSCwh87343 変更] |
Routing/SDWAN | Switching | Wireless | IOT | SP Access and Pre -Aggregation Router |
| 17.9.4 | 17.9.4a | 掲示済み | 掲示済み | 掲示済み | 掲示済み | 掲示済み |
| 17.6.6 | 17.6.6a | 計画中 | 計画中 | 計画中 | 計画中 | 計画中 |
| 17.3.8 | 17.3.8a | 計画中 | 計画中 | 計画中 | 計画中 | 計画中 |
| 16.12.10 | 16.12.10a | N/A | 計画中(Cat3850/3650 only) | N/A | N/A | N/A |
AhnLab の確認内容および勧告事項
当社で韓国地域の IP を対象に10月20日時点で確認したところによると、合計794個のサーバーのうち、496個のサーバーで Implant ファイルが存在すると推定された。また、脆弱性に対するセキュリティパッチが公開された以降である10月24日に再確認した結果、794個のサーバーのうち、411個のサーバーで Implant ファイルが確認され、相変わらず脆弱なサーバーが存在していると見える。
- 10月20日の確認内容(脆弱性に対するセキュリティパッチ公開前) : Implant ファイルが存在する脆弱対象496個推定(合計794個サーバーを対象に確認)
- 10月22日、脆弱性に対するセキュリティパッチ公開
- 10月24日の確認内容(脆弱性に対するセキュリティパッチ公開後) : Implant ファイルが存在する脆弱対象411個推定(合計794個サーバーを対象に確認)
この製品を使用中なら、パッチを適用し、直ちにパッチを適用できない場合やまだパッチが掲示されていない製品の場合には、緩和措置を適用することを強く推奨する。また、脆弱性に対するセキュリティパッチが適用されていても、すでにシステムが損傷されている可能性があるため、侵害指標を参考にして点検することが推奨され、特に内部点検が必要である。
参照サイト
[1] Multiple Vulnerabilities in Cisco IOS XE Software Web UI Feature
[2] Software Fix Availability for Cisco IOS XE Software Web UI Privilege Escalation Vulnerability – CVE-2023-20198
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:対応ガイド