本サイトは、快適にご利用いただくためにクッキー(Cookie)を使用しております。
Cookieの使用に同意いただける場合は「同意する」ボタンを押してください。
なお本サイトのCookie使用については、「個人情報保護方針」をご覧ください。
Cisco IOS XEのWeb UIの脆弱性(CVE-2023-20198/CVE-2023-20273)について
今月は、Cisco社からCisco IOS XEのWeb UIに存在する複数の脆弱性(CVE-2023-20198/CVE-2023-20273)が公開されました。同社の複数のネットワーク製品に搭載されているCisco IOS XEが影響対象となっており、脆弱性の重大度は最も深刻な「Critical(重大)」に位置付けられています。
CVE-2023-20198は特権昇格の脆弱性、CVE-2023-20273はコマンドインジェクションの脆弱性となっており、攻撃者に悪用された場合、リモートから認証なしにローカルユーザーを作成され、システムを制御されてしまう恐れがあります。いずれの脆弱性も既に悪用する攻撃が確認されているため、該当製品を利用している場合は、早急に最新のバージョンにアップデートすることをお勧めします。
本脆弱性に関する攻撃数の推移および攻撃元国は以下の通りです。弊社SOCでは、10/17(火)から攻撃を検知しており、ドイツおよびアメリカからの攻撃が多数を占めています。
 |
| # | 国名 | 割合 |
| 1 | ドイツ | 56.1% |
| 2 | アメリカ | 27.3% |
| 3 | イギリス | 5.5% |
| 4 | インド | 3.2% |
| 5 | オーストラリア | 2.6% |
下図は、弊社SOCで検知した攻撃のパケットペイロードの一部です。本通信は、これらの脆弱性によりシステムが侵害を受けているかを確認するリクエストです。レスポンス内容に、16進数文字列が含まれる場合、インプラント(悪意のあるプログラム)が存在しているため、システムが侵害されていることを示しています。
| POST /webui/logoutconfirm.html?logon_hash=1 HTTP/1.1 Host: example.com User-Agent: Mozilla/5.0 infrawatch/0.1 Content-Length: 0 Accept: */* Accept-Encoding: gzip |
影響対象
- Web UI機能が有効になっているすべてのCisco IOS XEソフトウェア
対策方法
- 最新のバージョンにアップデートしてください。
- Cisco IOS XE 17.9.4a
- Cisco IOS XE 17.6.6a
- Cisco IOS XE 17.3.8a
- Cisco IOS XE 16.12.10a
また、Cisco社から推奨事項として次の対応が案内されています。
詳細については、Cisco社が提供する情報を参照してください。 - 当該サーバがインターネットに公開されている場合、HTTPサーバ機能を無効にする
- HTTP/HTTPS通信によるアクセスが必要な場合、システムへのアクセスを信頼できるネットワークのみに制限する
参考情報
- Cisco - Cisco IOS XE ソフトウェア Web UI 機能における複数の脆弱性
https://www.cisco.com/c/ja_jp/support/docs/csa/2023/cisco-sa-iosxe-webui-privesc-j22SaA4z.html - JPCERT - Cisco IOS XEのWeb UIの脆弱性(CVE-2023-20198)に関する注意喚起
https://www.jpcert.or.jp/at/2023/at230025.html - IPA - Cisco 製 Cisco IOS XE の Web UI の脆弱性について(CVE-2023-20198 等)
https://www.ipa.go.jp/security/security-alert/2023/alert20231023-1.html - CVE-2023-20198
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-20198 - CVE-2023-20273
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-20273
マネージドサービス事業部
MBSD-SOC
MBSD-SOC
おすすめ記事
