確認点① Cisco IOS XEが稼働する製品は何か

Cisco IOS XEでサポートされるCisco社のネットワーク製品は次の通り。不明な場合は Cisco製品の担当者に問い合わせをする。

エンタープライズスイッチ	Catalyst 9600 シリーズ、Catalyst 9500 シリーズ、Catalyst 9400 シリーズ、Catalyst 9300 シリーズ、Catalyst 9200 シリーズ、Catalyst 3850、Catalyst 3650
ワイヤレスコントローラ	Catalyst 9800 シリーズ
アグリゲーション・エッジルータ	ASR 1013、ASR 1009-X、ASR 1006-X、ASR 1006、ASR 1004、ASR 1002-HX、ASR 1001-HX、ASR 1002-X、ASR 1001-X、ASR 900、NCS 4200
ブランチルーター	4451 ISR、4431 ISR、4351 ISR、4331 ISR、4321 ISR、4221 ISR、1000 ISR
仮想ルータ ISRv	ISRv、CSR1000v
コンバーイドブロードバンドルータ	CBR シリーズ
アクセスポイント	Catalyst 9100 シリーズ

確認点② Web UIが有効となっているか

• Web UIが有効となっているか確認するには次のコマンドを実行する。

show running-config | include ip http server|secure|active

• 実行後に表示された結果に次の２つのコマンドのいずれか、あるいは両方が表示された場合はWeb UI機能が有効となっている。

ip http server
ip http secure-server

• なお次のケースでは該当コマンドが表示された場合であっても脆弱性の影響を受けない。
  • ip http serverコマンドが存在するが、設定にip http active-session-modules noneが含まれている。
  • ip http secure-serverコマンドが存在するが、設定にip http secure-active-session-modules noneが含まれている。

対応策① HTTP/HTTPSサーバーの無効化・アクセス制限

• 可能な限りHTTP/HTTPSサーバー機能の無効化を行う。HTTP/HTTPSを必要とするなどやむを得ない場合はWeb UIに対する適切なアクセスコントロールを実施する。

HTTP/HTTPSサーバー機能の無効化は次のコマンドを実行する。どちらのサーバーも実行している場合はコマンドを2つとも実行する。

HTTPサーバー機能の無効化	no ip http server
HTTPSサーバー機能の無効化	no ip http secure-server

対応策② 侵害兆候の確認

(1) ログの確認

• システムログ中に次のメッセージが出力されているかを確認する。

%SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as （ユーザー名） on line

%SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: （ユーザー名）] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023

• 攻撃活動によるものの場合、ユーザー名の箇所がcisco_tac_adminやcisco_support、または管理者が把握していないユーザー名の可能性がある。
• また次のログはファイルが設置された際に出力されるもので、メッセージ中のファイル名が予期しない名称である場合は攻撃者のファイルが設置された可能性がある。

%WEBUI-6-INSTALL_OPERATION_INFO: User: （ユーザー名）, Install Operation: ADD （ファイル名）

(2) インプラントインストールの確認

• インプラントが既にインストールされているか確認するには次のコマンドを実行する。ただしこれは既知のインプラントの実装に基づき確認する方法であるため、インプラントがアップデートされるなどして今後これで確認されないパターンが発生する可能性もあり、Ciscoをはじめセキュリティベンダ等の報告より最新の状況を適宜把握しておく必要がある。

curl -k "https://（対象デバイスのIPアドレス等）/%25"

• 実行後に「404 Not Found」の標準外のHTTPレスポンスが返された場合は、対象のデバイスが脆弱性を悪用され侵害されている（バックドアインプラントが設置されている）可能性がある。（インプラントが存在しない場合は標準のHTTP404応答、あるいはHTTP200応答とJavaScriptのリダイレクト処理）
• Cisco Talosなどによればインプラントは機器の再起動により削除されるため永続性は確保されていない。ただし、脆弱性を悪用して作成されたアカウントは再起動後も残ることから、このアカウントへの対応を行わない限り攻撃者が引き続きデバイスの制御をおこなうことが可能となる。
• 10月20日頃より行われたインプラントのアップデートを受けてCisco Talosは新たに確認コマンドを公開しているが、マルウエアのコードを実際に動作させ確認する方法であることを念頭に慎重に確認を行う必要がある。

対応策③ 修正版の適用

• 2023年10月22日（現地時間）に修正版が公開されたことに伴い、①および②の対応とともに修正版への更新を行う。ソフトウエア更新のライセンスが有効な場合は通常のチャネルを通じて、契約がない（あるいは代理店経由で入手が困難な）場合はCisco TACへ連絡を取り入手を行う。
• 2023年10月22日時点で修正版の公開は一部のバージョンのみ。未公開のバージョンなどリリース状況の詳細についてはCiscoのサポートページを参照する。

Cisco IOS XEリリーストレイン	最初の修正版	公開の有無
17.9	17.9.4a	公開済
17.6	17.6.6a	準備中
17.3	17.3.8a	準備中
16.12 (Catalyst 3650/3850対応)	16.12.10a	準備中

顧客デバイスの異常検出を通じて発覚

Cisco Talosが今回の脆弱性発見の顛末と確認されたインプラントについて解析した記事を公開した。

• 2023年9月28日にCiscoのTAC（テクニカル アシスタンス センター）に顧客のデバイスで異常な動作を特定したケースが開始されたことが発端。調査を行ったところ9月18日に関連する活動痕跡に不審なIPアドレスからcisco_tac_adminのユーザー名でローカルユーザアカウントの作成が含まれていた。これらの活動痕跡は10月1日まで続いたものの、アカウントを作成する以外の挙動は確認されなかった。
• TACとTalos IRの調査により、10月12日同日に開始された追加の攻撃者による関連活動を確認。2つ目の不審なIPアドレスより、cisco_supportというユーザー名でローカルユーザーアカウントを作成した後、9月の事例とは異なり設定ファイル（cisco_service.conf）で構成されるインプラントのインストールなど、追加の活動が観測された。改ざんされた設定ファイルにはインプラントとやり取りをするために使用されるURIパスが定義される。インプラントを有効にするにはHTTP/HTTPSサーバー機能を再起動させる必要があるが、Cisco Talosが確認したある事例では再起動が行われなかったため、インストールされているにもかかわらず有効とはなっていなかった。
• インプラントコードは/webui/logoutconfirm.html上から呼び出しを行うもので、Lua言語で実装されており*1、パラメータの指定によって3つの機能が動作する。なおインプラントがアップデートされたことに伴い、各機能へ接続する際にAuthorizationヘッダに特定の文字列を指定する必要がある。

パラメータ	実装概要
menu	スラッシュで囲まれた文字列（インプラントのバージョンまたは設置日）を出力
logon_hash=1	ハードコードされた18文字の16進数を出力
logon_hash=（40文字の16進数）&common_type=（レベル）	logon_hashのパラメータがハードコードされた文字列と同じかを確認し、レベルにsubsystemを指定するとシステムレベルで、ioxを指定すると特権レベル15で実行

• このインプラントのインストールに際して、当初2021年に修正されたCVE-2021-1435（Cisco IOS XE Web UI コマンドインジェクション脆弱性）の悪用の可能性があると分析されていたが、その後の調査を経て別の脆弱性であるCVE-2023-20273であったことが判明している。CVE-2021-1435はKEVにも登録されていたが、現在はカタログから削除されている。

CiscoTalosが把握した当該脆弱性悪用活動に関連するIPアドレス

5.149.249[.]74
154.53.56[.]231
154.53.63[.]93

観測された攻撃者の実行コマンド

• Rapid7のMDRが分析した少数の事例において、cisco_supportアカウントが作成された後、次のコマンドなどが実行されていたことが判明した。中には同じ日に同じ顧客環境が侵害された事例もあった。

show running-config
show voice register global
show dial-peer voice summary
show platform
show flow monitor
show platform
show platform software iox-service
show iox-service
dir bootflash:
dir flash:
clear logging
no username cisco_support
no username cisco_tac_admin
no username cisco_sys_manager

• 攻撃者はコマンドを一通り実行した後、システムログの消去を行い、最後にcisco_supportアカウントの削除を行っている。cisco_tac_adminとcisco_sys_managerの削除を行うコマンドも実行しているが、Rapid7が分析したケースでは該当するアカウントの作成は行われていなかった。

広範に影響が及んでいる可能性

• Censysのスキャンによれば、インターネットから接続可能なCisco IOS XEのWeb UIラベルがついたホスト数は約6万2千件。この内、日本に該当するものは696件。（2023年10月19日時点）
• その後、経緯不明ながら多数あった侵害済ホストのインプラントが2023年10月21日より急減する事象が発生。*2 Onypheによれば、6万件あったインプラント観測された件数が数百台に減少したことを報告した。その後この急減はインプラントのアップデートであったことがCisco Talosの調査により明らかになった。接続する際にAuthorizationヘッダが必要な処理が追加されている。*3 Fox-ITも既存の実装より404応答を返す処理に着目し、当該実装をもって状況を確認した結果、依然として3万7千台以上のホストが侵害されているとみられることが判明した。*4
• 複数のベンダが脆弱性を悪用したとみられる活動について報告を行っている。概要は以下の通り。

VulnCheck	インターネットに接続されたCisco IOS XE のWeb UIをスキャンしたところ、数千のインプラントのインストールがされたホストを発見した。
Censys	バックドアがインストールされているとみられるホスト数が10月18日時点で41,983台あることを確認。感染が急激に増加傾向にある。
Shadowserver	Cisco Talosが公開した確認方法に基づき3万2千800台を超えるCisco IOS XEが稼働するIPアドレスが侵害されていることを確認。
Greynoise	侵害されたデバイスの一部がさらなる攻撃に悪用されている。
Paloaloto Unit42	自社の攻撃対象領域テレメトリーから、Lua 言語のインプラントを含む、少なくとも 22,074 個のホストを観測。

Cisco CVE-2023-20198 exploitation activity: We see over 32.8K Cisco IOS XE IPs compromised with implants based on the check published by Cisco in https://t.co/DWK2SgQGYP

IP data on implants shared out daily in: https://t.co/D1KZAGvfTr tagged 'device-implant'. pic.twitter.com/iJUNHAOTje

— Shadowserver (@Shadowserver) 2023年10月18日

UPDATE: Improved Cisco IOS XE Web UI CVE-2023-20198 implant detection, after threat actor modified their compromised device config (hat tip to @foxit)

30,487 unique IPs on 2023-10-23

Latest data in tonight's compromised website report. Dashboard stats updated after end of day. pic.twitter.com/7SjqduAaGA

— Shadowserver (@Shadowserver) 2023年10月23日