-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2023-0025
                                                             JPCERT/CC
                                                     2023-10-18（公開）
                                                     2023-10-23（更新）

                  <<< JPCERT/CC Alert 2023-10-18 >>>

Cisco IOS XEのWeb UIにおける権限昇格の脆弱性（CVE-2023-20198）に関する注意喚起

            https://www.jpcert.or.jp/at/2023/at230025.html


I. 概要
2023年10月16日（現地時間）、CiscoはCisco IOS XE ソフトウェアのWeb UI機
能における権限昇格の脆弱性に関する情報を公開しています。同製品のWeb UI
機能をインターネットまたは信頼されないネットワークに公開している場合、
本脆弱性が悪用され、遠隔の認証されていない第三者が、最上位の特権アカウ
ントを作成し、当該システムを制御する可能性があります。

** 更新: 2023年10月23日追記 *******************************************
2023年10月22日（現地時間）、Ciscoはアドバイザリを更新し、新たな脆弱性
の情報と攻撃の内容に関する情報を公開しています。Ciscoは、CVE-2023-20198
に加えて、新たにWeb UI機能の別コンポーネントの脆弱性にCVE-2023-20273を
割り当てています。Ciscoの調査によると、攻撃者は、CVE-2023-20198を悪用
してシステムに侵入し、最上位の特権レベルのコマンドを発行して新たなロー
カルユーザーを作成しました。その後、CVE-2023-20273を悪用し、作成したロ
ーカルユーザーの権限をルートに昇格させ、インプラントをファイルシステム
に書き込んだとのことです。
***********************************************************************

JPCERT/CCでは、本脆弱性を悪用した攻撃による被害を確認しています。
加えて、未精査の情報も含まれますが、本脆弱性を悪用した攻撃にて、対象機
器に不審な設定ファイルが設置されているホストに関する情報が複数観測され
ています。同製品でWeb UI機能を利用している場合、CiscoやCisco Talosが提
供する最新の情報を確認の上、推奨事項の適用および侵害痕跡の調査の実施を
推奨します。

    Cisco
    Cisco IOS XE Software Web UI Privilege Escalation Vulnerability
    https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z


II. 対象
対象となるシステムは次のとおりです。

  - Web UI機能が有効になっているすべてのCisco IOS XEソフトウェア


III. 対策
2023年10月18日現在、本脆弱性を修正する対策バージョンは公開されていません。
「IV. 推奨事項」を参照のうえ、対応をご検討ください。

** 更新: 2023年10月23日追記 *******************************************
2023年10月22日（現地時間）、Ciscoは本脆弱性を修正したバージョンを一部
公開しています。対象のバージョンを利用している場合は、次の修正済みバー
ジョンの適用をご検討ください。

 - Cisco IOS XE 17.9.4a

また、次の対策バージョンについては2023年10月23日時点で計画中となってい
ます。

 - Cisco IOS XE 17.6.6a
 - Cicso IOS XE 17.3.8a
 - Cisco IOX XE 16.12.10a
***********************************************************************


IV. 推奨事項
本脆弱性に対して、Ciscoは次の対応を強く推奨しています。詳細は、Ciscoが
提供する情報をご確認ください。

 - インターネット経由で接続可能なシステムではHTTPサーバー機能を無効にする
 - HTTP/HTTPS通信を必要とするサービスを実行している場合、サービスへのアクセスを信頼できるネットワークに制限する


V. 侵害有無調査
本脆弱性が悪用された可能性や悪用後の侵害状況を調査する方法について、Cisco
やCisco Talosが情報を公開しています。
不審なユーザーアカウントによるログインや、設定変更およびファイルの追加が
行われたか、システムログから確認する方法、また不審なファイルの設置を確認
する方法を紹介しています。Ciscoは、確認した不審なユーザーアカウント名を
示して注意を促すとともに、他にも作成したおぼえの無い不審なユーザーアカウ
ントが存在しないか確認することも推奨しています。詳細や最新の情報は、Cisco
やCisco Talosが提供する情報を参照してください。

    Cisco
    Cisco IOS XE Software Web UI Privilege Escalation Vulnerability
    https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z#indicatorfield

    Cisco Talos
    Active exploitation of Cisco IOS XE Software Web Management User Interface vulnerability
    https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/


VI. 参考情報
    Cisco
    Cisco IOS XE ソフトウェアの Web UI における特権昇格の脆弱性
    https://www.cisco.com/c/ja_jp/support/docs/csa/2023/cisco-sa-iosxe-webui-privesc-j22SaA4z.html

    Cisco Talos
    Active exploitation of Cisco IOS XE Software Web Management User Interface vulnerability
    https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/

    Censys
    CVE-2023-20198  Cisco IOS-XE ZeroDay
    https://censys.com/cve-2023-20198-cisco-ios-xe-zeroday/
    
    VulnCheck
    Widespread Cisco IOS XE Implants in the Wild
    https://vulncheck.com/blog/cisco-implants


今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで
ご連絡ください。

________
改訂履歴
2023-10-18 公開
2023-10-23 「I. 概要」および「III. 対策」を更新

======================================================================
一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）
早期警戒グループ
Email：ew-info@jpcert.or.jp
-----BEGIN PGP SIGNATURE-----
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=scSC
-----END PGP SIGNATURE-----