2023年10月16日、Ciscoは同社のネットワーク製品のOSとして搭載されているCisco IOS XEに未修正(当時)の脆弱性 CVE-2023-20198 および CVE-2023-20273 を悪用する活動が確認されたとしてセキュリティ情報を公開しました。
CVE-2023-20198は権限昇格の脆弱性で、リモートから管理者に相当するアカウントを作成される恐れがあります。またその後の調査でさらに別の脆弱性 CVE-2023-20273 が悪用されていることも判明しました。同社は CVE-2023-20198 を最大の深刻度であるCriticalと評価しており、脆弱性への対応を強く呼び掛けています。ここでは関連する情報をまとめます。
脆弱性 CVE-2023-20198 / CVE-2023-20273 の概要
- Cisco社の複数のネットワーク製品に搭載されているCisco IOS XEに深刻な脆弱性 CVE-2023-20198、そしてその後の調査でCVE-2023-20273 が発見された。脆弱性を悪用されると最上位の特権レベルでアカウントを作成され、作成したアカウントを通じて製品上にファイルシステムへの書き込みが行われ、最終的に管理者権限を使用した任意のコマンドが実行される恐れがある。
- CVE-2023-20198、CVE-2023-20273を悪用した積極的な活動がすでに確認されており、セキュリティベンダの調査によれば侵害されたとみられるホスト数は3万件以上との報告がある。攻撃が確認されているとしてJPCERT/CCも注意喚起を行っている。
- 脆弱性の修正版は10月22日より一部バージョンを対象に公開されているが、攻撃の対象となるWebUI機能の無効化・アクセス制限を行うようCiscoは強く推奨。加えて既に攻撃活動が行われていることから侵害兆候の確認も併せて行うことが望ましい。Ciscoは10月22日に修正版を公開する見込みとアナウンスしている。
脆弱性2件の関連情報は以下の通り。
共通脆弱性識別子 | CVE-2023-20198 |
---|---|
深刻度 | Critical/ CVSSv3(基本値)10.0 (Cisco評価) |
脆弱性概要 | 権限昇格の脆弱性 |
脆弱性の状況 | 2023年10月22日時点で一部バージョンの修正版公開 |
悪用の有無 | 積極的な悪用活動を確認済、KEVに登録済 |
発見者 | Cisco TACで行われていた複数のサポートケースで発見 |
共通脆弱性識別子 | CVE-2023-20273 |
---|---|
深刻度 | High/ CVSSv3(基本値)7.2 (Cisco評価) |
脆弱性概要 | コマンドインジェクションの脆弱性 |
脆弱性の状況 | 2023年10月22日時点で一部バージョンの修正版公開 |
悪用の有無 | 積極的な悪用活動を確認済 |
発見者 | CVE-2023-20198の悪用のケースの調査を受け判明、KEVに登録済 |
- Cisco IOS XE ソフトウェアの Web UI における特権昇格の脆弱性 (英文)
- CISA Guidance for Addressing Cisco IOS XE Web UI Vulnerabilities
- KEV記載の連邦政府機関に対する対処要求までの期間は4日間で、これはAtlassian Confluenceの脆弱性 CVE-2022-26134 に続き2例目の短期間での要請となっている。
影響対象
CVE-2023-20198について、次の2つの条件を満たす場合に脆弱性の影響を受ける。
- ネットワーク製品上でCisco IOS XEが稼働している
- Web UI機能が有効になっている
確認点① Cisco IOS XEが稼働する製品は何か
Cisco IOS XEでサポートされるCisco社のネットワーク製品は次の通り。不明な場合は Cisco製品の担当者に問い合わせをする。
エンタープライズスイッチ | Catalyst 9600 シリーズ、Catalyst 9500 シリーズ、Catalyst 9400 シリーズ、Catalyst 9300 シリーズ、Catalyst 9200 シリーズ、Catalyst 3850、Catalyst 3650 |
---|---|
ワイヤレスコントローラ | Catalyst 9800 シリーズ |
アグリゲーション・エッジルータ | ASR 1013、ASR 1009-X、ASR 1006-X、ASR 1006、ASR 1004、ASR 1002-HX、ASR 1001-HX、ASR 1002-X、ASR 1001-X、ASR 900、NCS 4200 |
ブランチルーター | 4451 ISR、4431 ISR、4351 ISR、4331 ISR、4321 ISR、4221 ISR、1000 ISR |
仮想ルータ ISRv | ISRv、CSR1000v |
コンバーイドブロードバンドルータ | CBR シリーズ |
アクセスポイント | Catalyst 9100 シリーズ |
確認点② Web UIが有効となっているか
- Web UIが有効となっているか確認するには次のコマンドを実行する。
show running-config | include ip http server|secure|active
- 実行後に表示された結果に次の2つのコマンドのいずれか、あるいは両方が表示された場合はWeb UI機能が有効となっている。
ip http server
ip http secure-server
- なお次のケースでは該当コマンドが表示された場合であっても脆弱性の影響を受けない。
ip http server
コマンドが存在するが、設定にip http active-session-modules none
が含まれている。ip http secure-server
コマンドが存在するが、設定にip http secure-active-session-modules none
が含まれている。
対応策
- 10月19日時点で修正版が公開されていないため、脆弱性の影響を受けるHTTP/HTTPSサーバー機能の無効化などを行うことで脆弱性の影響を受けないように対応を行う。
- また侵害の兆候をログ等より確認する。Cisco IOS XEのWeb UIがインターネット等の管理者以外からアクセスが可能となっていた場合は特に注意して確認を行う必要がある。
対応策① HTTP/HTTPSサーバーの無効化・アクセス制限
- 可能な限りHTTP/HTTPSサーバー機能の無効化を行う。HTTP/HTTPSを必要とするなどやむを得ない場合はWeb UIに対する適切なアクセスコントロールを実施する。
HTTP/HTTPSサーバー機能の無効化は次のコマンドを実行する。どちらのサーバーも実行している場合はコマンドを2つとも実行する。
HTTPサーバー機能の無効化 | no ip http server |
---|---|
HTTPSサーバー機能の無効化 | no ip http secure-server |
対応策② 侵害兆候の確認
(1) ログの確認
- システムログ中に次のメッセージが出力されているかを確認する。
%SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as (ユーザー名) on line
%SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: (ユーザー名)] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023
- 攻撃活動によるものの場合、ユーザー名の箇所が
cisco_tac_admin
やcisco_support
、または管理者が把握していないユーザー名の可能性がある。 - また次のログはファイルが設置された際に出力されるもので、メッセージ中のファイル名が予期しない名称である場合は攻撃者のファイルが設置された可能性がある。
%WEBUI-6-INSTALL_OPERATION_INFO: User: (ユーザー名), Install Operation: ADD (ファイル名)
(2) インプラントインストールの確認
- インプラントが既にインストールされているか確認するには次のコマンドを実行する。ただしこれは既知のインプラントの実装に基づき確認する方法であるため、インプラントがアップデートされるなどして今後これで確認されないパターンが発生する可能性もあり、Ciscoをはじめセキュリティベンダ等の報告より最新の状況を適宜把握しておく必要がある。
curl -k "https://(対象デバイスのIPアドレス等)/%25"
- 実行後に「404 Not Found」の標準外のHTTPレスポンスが返された場合は、対象のデバイスが脆弱性を悪用され侵害されている(バックドアインプラントが設置されている)可能性がある。(インプラントが存在しない場合は標準のHTTP404応答、あるいはHTTP200応答とJavaScriptのリダイレクト処理)
- Cisco Talosなどによればインプラントは機器の再起動により削除されるため永続性は確保されていない。ただし、脆弱性を悪用して作成されたアカウントは再起動後も残ることから、このアカウントへの対応を行わない限り攻撃者が引き続きデバイスの制御をおこなうことが可能となる。
- 10月20日頃より行われたインプラントのアップデートを受けてCisco Talosは新たに確認コマンドを公開しているが、マルウエアのコードを実際に動作させ確認する方法であることを念頭に慎重に確認を行う必要がある。
対応策③ 修正版の適用
- 2023年10月22日(現地時間)に修正版が公開されたことに伴い、①および②の対応とともに修正版への更新を行う。ソフトウエア更新のライセンスが有効な場合は通常のチャネルを通じて、契約がない(あるいは代理店経由で入手が困難な)場合はCisco TACへ連絡を取り入手を行う。
- 2023年10月22日時点で修正版の公開は一部のバージョンのみ。未公開のバージョンなどリリース状況の詳細についてはCiscoのサポートページを参照する。
Cisco IOS XEリリーストレイン | 最初の修正版 | 公開の有無 |
---|---|---|
17.9 | 17.9.4a | 公開済 |
17.6 | 17.6.6a | 準備中 |
17.3 | 17.3.8a | 準備中 |
16.12 (Catalyst 3650/3850対応) | 16.12.10a | 準備中 |
脆弱性悪用の状況
顧客デバイスの異常検出を通じて発覚
Cisco Talosが今回の脆弱性発見の顛末と確認されたインプラントについて解析した記事を公開した。
- 2023年9月28日にCiscoのTAC(テクニカル アシスタンス センター)に顧客のデバイスで異常な動作を特定したケースが開始されたことが発端。調査を行ったところ9月18日に関連する活動痕跡に不審なIPアドレスから
cisco_tac_admin
のユーザー名でローカルユーザアカウントの作成が含まれていた。これらの活動痕跡は10月1日まで続いたものの、アカウントを作成する以外の挙動は確認されなかった。 - TACとTalos IRの調査により、10月12日同日に開始された追加の攻撃者による関連活動を確認。2つ目の不審なIPアドレスより、
cisco_support
というユーザー名でローカルユーザーアカウントを作成した後、9月の事例とは異なり設定ファイル(cisco_service.conf)で構成されるインプラントのインストールなど、追加の活動が観測された。改ざんされた設定ファイルにはインプラントとやり取りをするために使用されるURIパスが定義される。インプラントを有効にするにはHTTP/HTTPSサーバー機能を再起動させる必要があるが、Cisco Talosが確認したある事例では再起動が行われなかったため、インストールされているにもかかわらず有効とはなっていなかった。 - インプラントコードは
/webui/logoutconfirm.html
上から呼び出しを行うもので、Lua言語で実装されており*1、パラメータの指定によって3つの機能が動作する。なおインプラントがアップデートされたことに伴い、各機能へ接続する際にAuthorizationヘッダに特定の文字列を指定する必要がある。
パラメータ | 実装概要 |
---|---|
menu | スラッシュで囲まれた文字列(インプラントのバージョンまたは設置日)を出力 |
logon_hash=1 | ハードコードされた18文字の16進数を出力 |
logon_hash=(40文字の16進数)&common_type=(レベル) | logon_hashのパラメータがハードコードされた文字列と同じかを確認し、レベルにsubsystem を指定するとシステムレベルで、iox を指定すると特権レベル15で実行 |
- このインプラントのインストールに際して、当初2021年に修正されたCVE-2021-1435(Cisco IOS XE Web UI コマンドインジェクション脆弱性)の悪用の可能性があると分析されていたが、その後の調査を経て別の脆弱性であるCVE-2023-20273であったことが判明している。CVE-2021-1435はKEVにも登録されていたが、現在はカタログから削除されている。
CiscoTalosが把握した当該脆弱性悪用活動に関連するIPアドレス
5.149.249[.]74
154.53.56[.]231
154.53.63[.]93
観測された攻撃者の実行コマンド
- Rapid7のMDRが分析した少数の事例において、
cisco_support
アカウントが作成された後、次のコマンドなどが実行されていたことが判明した。中には同じ日に同じ顧客環境が侵害された事例もあった。
show running-config
show voice register global
show dial-peer voice summary
show platform
show flow monitor
show platform
show platform software iox-service
show iox-service
dir bootflash:
dir flash:
clear logging
no username cisco_support
no username cisco_tac_admin
no username cisco_sys_manager
- 攻撃者はコマンドを一通り実行した後、システムログの消去を行い、最後に
cisco_support
アカウントの削除を行っている。cisco_tac_admin
とcisco_sys_manager
の削除を行うコマンドも実行しているが、Rapid7が分析したケースでは該当するアカウントの作成は行われていなかった。
広範に影響が及んでいる可能性
- Censysのスキャンによれば、インターネットから接続可能なCisco IOS XEのWeb UIラベルがついたホスト数は約6万2千件。この内、日本に該当するものは696件。(2023年10月19日時点)
- その後、経緯不明ながら多数あった侵害済ホストのインプラントが2023年10月21日より急減する事象が発生。*2 Onypheによれば、6万件あったインプラント観測された件数が数百台に減少したことを報告した。その後この急減はインプラントのアップデートであったことがCisco Talosの調査により明らかになった。接続する際にAuthorizationヘッダが必要な処理が追加されている。*3 Fox-ITも既存の実装より404応答を返す処理に着目し、当該実装をもって状況を確認した結果、依然として3万7千台以上のホストが侵害されているとみられることが判明した。*4
- 複数のベンダが脆弱性を悪用したとみられる活動について報告を行っている。概要は以下の通り。
VulnCheck | インターネットに接続されたCisco IOS XE のWeb UIをスキャンしたところ、数千のインプラントのインストールがされたホストを発見した。 |
---|---|
Censys | バックドアがインストールされているとみられるホスト数が10月18日時点で41,983台あることを確認。感染が急激に増加傾向にある。 |
Shadowserver | Cisco Talosが公開した確認方法に基づき3万2千800台を超えるCisco IOS XEが稼働するIPアドレスが侵害されていることを確認。 |
Greynoise | 侵害されたデバイスの一部がさらなる攻撃に悪用されている。 |
Paloaloto Unit42 | 自社の攻撃対象領域テレメトリーから、Lua 言語のインプラントを含む、少なくとも 22,074 個のホストを観測。 |
Cisco CVE-2023-20198 exploitation activity: We see over 32.8K Cisco IOS XE IPs compromised with implants based on the check published by Cisco in https://t.co/DWK2SgQGYP
— Shadowserver (@Shadowserver) 2023年10月18日
IP data on implants shared out daily in: https://t.co/D1KZAGvfTr tagged 'device-implant'. pic.twitter.com/iJUNHAOTje
UPDATE: Improved Cisco IOS XE Web UI CVE-2023-20198 implant detection, after threat actor modified their compromised device config (hat tip to @foxit)
— Shadowserver (@Shadowserver) 2023年10月23日
30,487 unique IPs on 2023-10-23
Latest data in tonight's compromised website report. Dashboard stats updated after end of day. pic.twitter.com/7SjqduAaGA
更新履歴
- 2023年10月19日 PM 新規作成
- 2023年10月22日 AM CVE-2023-20273が判明したことをうけ更新
- 2023年10月23日 AM 修正版の一部公開に伴う更新
- 2023年10月24日 PM インプラントアップデートに伴う修正
*2:Number of hacked Cisco IOS XE devices plummets from 50K to hundreds,Bleepingcomputer,2023年10月22日