JPCERT-AT-2023-0025
JPCERT/CC
2023-10-18(公開)
2023-10-23(更新)
JPCERT/CCでは、本脆弱性を悪用した攻撃による被害を確認しています。加えて、未精査の情報も含まれますが、本脆弱性を悪用した攻撃にて、対象機器に不審な設定ファイルが設置されているホストに関する情報が複数観測されています。同製品でWeb UI機能を利用している場合、CiscoやCisco Talosが提供する最新の情報を確認の上、推奨事項の適用および侵害痕跡の調査の実施を推奨します。
Cisco
Cisco IOS XE Software Web UI Privilege Escalation Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z
- Web UI機能が有効になっているすべてのCisco IOS XEソフトウェア
- インターネット経由で接続可能なシステムではHTTPサーバー機能を無効にする
- HTTP/HTTPS通信を必要とするサービスを実行している場合、サービスへのアクセスを信頼できるネットワークに制限する
Cisco
Cisco IOS XE Software Web UI Privilege Escalation Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z#indicatorfield
Cisco Talos
Active exploitation of Cisco IOS XE Software Web Management User Interface vulnerability
https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/
Cisco
Cisco IOS XE ソフトウェアの Web UI における特権昇格の脆弱性
https://www.cisco.com/c/ja_jp/support/docs/csa/2023/cisco-sa-iosxe-webui-privesc-j22SaA4z.html
Cisco Talos
Active exploitation of Cisco IOS XE Software Web Management User Interface vulnerability
https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/
Censys
CVE-2023-20198 Cisco IOS-XE ZeroDay
https://censys.com/cve-2023-20198-cisco-ios-xe-zeroday/
VulnCheck
Widespread Cisco IOS XE Implants in the Wild
https://vulncheck.com/blog/cisco-implants
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
2023-10-23 「I. 概要」および「III. 対策」を更新
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
JPCERT/CC
2023-10-18(公開)
2023-10-23(更新)
I. 概要
2023年10月16日(現地時間)、CiscoはCisco IOS XE ソフトウェアのWeb UI機能における権限昇格の脆弱性に関する情報を公開しています。同製品のWeb UI機能をインターネットまたは信頼されないネットワークに公開している場合、本脆弱性が悪用され、遠隔の認証されていない第三者が、最上位の特権アカウントを作成し、当該システムを制御する可能性があります。更新: 2023年10月23日追記
2023年10月22日(現地時間)、Ciscoはアドバイザリを更新し、新たな脆弱性の情報と攻撃の内容に関する情報を公開しています。Ciscoは、CVE-2023-20198に加えて、新たにWeb UI機能の別コンポーネントの脆弱性にCVE-2023-20273を割り当てています。Ciscoの調査によると、攻撃者は、CVE-2023-20198を悪用してシステムに侵入し、最上位の特権レベルのコマンドを発行して新たなローカルユーザーを作成しました。その後、CVE-2023-20273を悪用し、作成したローカルユーザーの権限をルートに昇格させ、インプラントをファイルシステムに書き込んだとのことです。
JPCERT/CCでは、本脆弱性を悪用した攻撃による被害を確認しています。加えて、未精査の情報も含まれますが、本脆弱性を悪用した攻撃にて、対象機器に不審な設定ファイルが設置されているホストに関する情報が複数観測されています。同製品でWeb UI機能を利用している場合、CiscoやCisco Talosが提供する最新の情報を確認の上、推奨事項の適用および侵害痕跡の調査の実施を推奨します。
Cisco
Cisco IOS XE Software Web UI Privilege Escalation Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z
II. 対象
対象となるシステムは次のとおりです。- Web UI機能が有効になっているすべてのCisco IOS XEソフトウェア
III. 対策
2023年10月18日現在、本脆弱性を修正する対策バージョンは公開されていません。「IV. 推奨事項」を参照のうえ、対応をご検討ください。更新: 2023年10月23日追記
2023年10月22日(現地時間)、Ciscoは本脆弱性を修正したバージョンを一部公開しています。対象のバージョンを利用している場合は、次の修正済みバージョンの適用をご検討ください。
- Cisco IOS XE 17.9.4a
また、次の対策バージョンについては2023年10月23日時点で計画中となっています。
- Cisco IOS XE 17.6.6a
- Cicso IOS XE 17.3.8a
- Cisco IOX XE 16.12.10a
- Cisco IOS XE 17.9.4a
また、次の対策バージョンについては2023年10月23日時点で計画中となっています。
- Cisco IOS XE 17.6.6a
- Cicso IOS XE 17.3.8a
- Cisco IOX XE 16.12.10a
IV. 推奨事項
本脆弱性に対して、Ciscoは次の対応を強く推奨しています。詳細は、Ciscoが提供する情報をご確認ください。- インターネット経由で接続可能なシステムではHTTPサーバー機能を無効にする
- HTTP/HTTPS通信を必要とするサービスを実行している場合、サービスへのアクセスを信頼できるネットワークに制限する
V. 侵害有無調査
本脆弱性が悪用された可能性や悪用後の侵害状況を調査する方法について、CiscoやCisco Talosが情報を公開しています。不審なユーザーアカウントによるログインや、設定変更およびファイルの追加が行われたか、システムログから確認する方法、また不審なファイルの設置を確認する方法を紹介しています。Ciscoは、確認した不審なユーザーアカウント名を示して注意を促すとともに、他にも作成したおぼえの無い不審なユーザーアカウントが存在しないか確認することも推奨しています。詳細や最新の情報は、CiscoやCisco Talosが提供する情報を参照してください。Cisco
Cisco IOS XE Software Web UI Privilege Escalation Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z#indicatorfield
Cisco Talos
Active exploitation of Cisco IOS XE Software Web Management User Interface vulnerability
https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/
VI. 参考情報
Cisco
Cisco IOS XE ソフトウェアの Web UI における特権昇格の脆弱性
https://www.cisco.com/c/ja_jp/support/docs/csa/2023/cisco-sa-iosxe-webui-privesc-j22SaA4z.html
Cisco Talos
Active exploitation of Cisco IOS XE Software Web Management User Interface vulnerability
https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/
Censys
CVE-2023-20198 Cisco IOS-XE ZeroDay
https://censys.com/cve-2023-20198-cisco-ios-xe-zeroday/
VulnCheck
Widespread Cisco IOS XE Implants in the Wild
https://vulncheck.com/blog/cisco-implants
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
改訂履歴
2023-10-18 公開2023-10-23 「I. 概要」および「III. 対策」を更新
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp