Know your enemy.Defense leadership.

2023.11.24

MBSD-SOC

2023年10月度 MBSD-SOCの検知傾向トピックス

Cisco IOS XEのWeb UIの脆弱性(CVE-2023-20198/CVE-2023-20273)について

 今月は、Cisco社からCisco IOS XEのWeb UIに存在する複数の脆弱性(CVE-2023-20198/CVE-2023-20273)が公開されました。同社の複数のネットワーク製品に搭載されているCisco IOS XEが影響対象となっており、脆弱性の重大度は最も深刻な「Critical(重大)」に位置付けられています。

 CVE-2023-20198は特権昇格の脆弱性、CVE-2023-20273はコマンドインジェクションの脆弱性となっており、攻撃者に悪用された場合、リモートから認証なしにローカルユーザーを作成され、システムを制御されてしまう恐れがあります。いずれの脆弱性も既に悪用する攻撃が確認されているため、該当製品を利用している場合は、早急に最新のバージョンにアップデートすることをお勧めします。

 本脆弱性に関する攻撃数の推移および攻撃元国は以下の通りです。弊社SOCでは、10/17(火)から攻撃を検知しており、ドイツおよびアメリカからの攻撃が多数を占めています。

図. Cisco IOS XEのWeb UIの脆弱性に関する攻撃の検知数推移(2023年10月)
グラフ1_202310.PNG
. Cisco IOS XEのWeb UIの脆弱性に関する攻撃国 上位5件(2023年10月)
# 国名 割合
1 ドイツ 56.1%
2 アメリカ 27.3%
3 イギリス 5.5%
4 インド 3.2%
5 オーストラリア 2.6%

 下図は、弊社SOCで検知した攻撃のパケットペイロードの一部です。本通信は、これらの脆弱性によりシステムが侵害を受けているかを確認するリクエストです。レスポンス内容に、16進数文字列が含まれる場合、インプラント(悪意のあるプログラム)が存在しているため、システムが侵害されていることを示しています。

図. Cisco IOS XEのWeb UIの脆弱性に関する攻撃の検知例
POST /webui/logoutconfirm.html?logon_hash=1 HTTP/1.1
Host: example.com
User-Agent: Mozilla/5.0 infrawatch/0.1
Content-Length: 0
Accept: */*
Accept-Encoding: gzip

影響対象

  • Web UI機能が有効になっているすべてのCisco IOS XEソフトウェア

対策方法

  • 最新のバージョンにアップデートしてください。

    • Cisco IOS XE 17.9.4a
    • Cisco IOS XE 17.6.6a
    • Cisco IOS XE 17.3.8a
    • Cisco IOS XE 16.12.10a

      また、Cisco社から推奨事項として次の対応が案内されています。
      詳細については、Cisco社が提供する情報を参照してください。

    • 当該サーバがインターネットに公開されている場合、HTTPサーバ機能を無効にする
    • HTTP/HTTPS通信によるアクセスが必要な場合、システムへのアクセスを信頼できるネットワークのみに制限する

参考情報

マネージドサービス事業部

MBSD-SOC

シェアする ツイートする