ピンボールマシン リアル鬼ごっこ2

piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

Cisco IOS XE の脆弱性 CVE-2023-20198 / CVE-2023-20273 についてまとめてみた

2023年10月16日、Ciscoは同社のネットワーク製品のOSとして搭載されているCisco IOS XEに未修正(当時)の脆弱性 CVE-2023-20198 および CVE-2023-20273 を悪用する活動が確認されたとしてセキュリティ情報を公開しました。
CVE-2023-20198は権限昇格の脆弱性で、リモートから管理者に相当するアカウントを作成される恐れがあります。またその後の調査でさらに別の脆弱性 CVE-2023-20273 が悪用されていることも判明しました。同社は CVE-2023-20198 を最大の深刻度であるCriticalと評価しており、脆弱性への対応を強く呼び掛けています。ここでは関連する情報をまとめます。

脆弱性 CVE-2023-20198 / CVE-2023-20273 の概要

  • Cisco社の複数のネットワーク製品に搭載されているCisco IOS XEに深刻な脆弱性 CVE-2023-20198、そしてその後の調査でCVE-2023-20273 が発見された。脆弱性を悪用されると最上位の特権レベルでアカウントを作成され、作成したアカウントを通じて製品上にファイルシステムへの書き込みが行われ、最終的に管理者権限を使用した任意のコマンドが実行される恐れがある。
  • CVE-2023-20198、CVE-2023-20273を悪用した積極的な活動がすでに確認されており、セキュリティベンダの調査によれば侵害されたとみられるホスト数は3万件以上との報告がある。攻撃が確認されているとしてを行っている。
  • 脆弱性の修正版は10月22日より一部バージョンを対象に公開されているが、攻撃の対象となるWebUI機能の無効化・アクセス制限を行うようCiscoは強く推奨。加えて既に攻撃活動が行われていることから侵害兆候の確認も併せて行うことが望ましい。Ciscoは10月22日に修正版を公開する見込みとアナウンスしている。

脆弱性2件の関連情報は以下の通り。

共通脆弱性識別子
深刻度 Critical/ CVSSv3(基本値) (Cisco評価)
脆弱性概要 権限昇格の脆弱性
脆弱性の状況 2023年10月22日時点で一部バージョンの修正版公開
悪用の有無 積極的な悪用活動を確認済、
発見者 Cisco TACで行われていた複数のサポートケースで発見
共通脆弱性識別子
深刻度 High/ CVSSv3(基本値)7.2 (Cisco評価)
脆弱性概要 コマンドインジェクションの脆弱性
脆弱性の状況 2023年10月22日時点で一部バージョンの修正版公開
悪用の有無 積極的な悪用活動を確認済
発見者 CVE-2023-20198の悪用のケースの調査を受け判明、
  • ()
  • CISA
  • KEV記載の連邦政府機関に対する対処要求までの期間は4日間で、これはAtlassian Confluenceの脆弱性 CVE-2022-26134 に続き2例目の短期間での要請となっている。

影響対象

CVE-2023-20198について、次の2つの条件を満たす場合に脆弱性の影響を受ける。

  • ネットワーク製品上でCisco IOS XEが稼働している
  • Web UI機能が有効になっている
確認点① Cisco IOS XEが稼働する製品は何か

は次の通り。不明な場合は Cisco製品の担当者に問い合わせをする。

エンタープライズスイッチ Catalyst 9600 シリーズ、Catalyst 9500 シリーズ、Catalyst 9400 シリーズ、Catalyst 9300 シリーズ、Catalyst 9200 シリーズ、Catalyst 3850、Catalyst 3650
ワイヤレスコントローラ Catalyst 9800 シリーズ
アグリゲーション・エッジルータ ASR 1013、ASR 1009-X、ASR 1006-X、ASR 1006、ASR 1004、ASR 1002-HX、ASR 1001-HX、ASR 1002-X、ASR 1001-X、ASR 900、NCS 4200
ブランチルーター 4451 ISR、4431 ISR、4351 ISR、4331 ISR、4321 ISR、4221 ISR、1000 ISR
仮想ルータ ISRv ISRv、CSR1000v
コンバーイドブロードバンドルータ CBR シリーズ
アクセスポイント Catalyst 9100 シリーズ
確認点② Web UIが有効となっているか
  • Web UIが有効となっているか確認するには次のコマンドを実行する。

show running-config | include ip http server|secure|active

  • 実行後に表示された結果に次の2つのコマンドのいずれか、あるいは両方が表示された場合はWeb UI機能が有効となっている。

ip http server
ip http secure-server

  • なお次のケースでは該当コマンドが表示された場合であっても脆弱性の影響を受けない。
    • ip http serverコマンドが存在するが、設定にip http active-session-modules noneが含まれている。
    • ip http secure-serverコマンドが存在するが、設定にip http secure-active-session-modules noneが含まれている。
Cisco IOS XEのWeb UI(ログイン)画面の例

対応策

  • 10月19日時点で修正版が公開されていないため、脆弱性の影響を受けるHTTP/HTTPSサーバー機能の無効化などを行うことで脆弱性の影響を受けないように対応を行う。
  • また侵害の兆候をログ等より確認する。Cisco IOS XEのWeb UIがインターネット等の管理者以外からアクセスが可能となっていた場合は特に注意して確認を行う必要がある。
対応策① HTTP/HTTPSサーバーの無効化・アクセス制限
  • 可能な限りHTTP/HTTPSサーバー機能の無効化を行う。HTTP/HTTPSを必要とするなどやむを得ない場合はWeb UIに対する適切なアクセスコントロールを実施する。

HTTP/HTTPSサーバー機能の無効化は次のコマンドを実行する。どちらのサーバーも実行している場合はコマンドを2つとも実行する。

HTTPサーバー機能の無効化 no ip http server
HTTPSサーバー機能の無効化 no ip http secure-server
対応策② 侵害兆候の確認

(1) ログの確認

  • システムログ中に次のメッセージが出力されているかを確認する。

%SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as (ユーザー名) on line

%SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: (ユーザー名)] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023

  • 攻撃活動によるものの場合、ユーザー名の箇所がcisco_tac_admincisco_support、または管理者が把握していないユーザー名の可能性がある。
  • また次のログはファイルが設置された際に出力されるもので、メッセージ中のファイル名が予期しない名称である場合は攻撃者のファイルが設置された可能性がある。

%WEBUI-6-INSTALL_OPERATION_INFO: User: (ユーザー名), Install Operation: ADD (ファイル名)

(2) インプラントインストールの確認

  • インプラントが既にインストールされているか確認するには次のコマンドを実行する。ただしこれは既知のインプラントの実装に基づき確認する方法であるため、インプラントがアップデートされるなどして今後これで確認されないパターンが発生する可能性もあり、Ciscoをはじめセキュリティベンダ等の報告より最新の状況を適宜把握しておく必要がある。

curl -k "//(対象デバイスのIPアドレス等)/%25"

  • 実行後に「404 Not Found」の標準外のHTTPレスポンスが返された場合は、対象のデバイスが脆弱性を悪用され侵害されている(バックドアインプラントが設置されている)可能性がある。(インプラントが存在しない場合は標準のHTTP404応答、あるいはHTTP200応答とJavaScriptのリダイレクト処理)
  • Cisco Talosなどによればインプラントは機器の再起動により削除されるため永続性は確保されていない。ただし、脆弱性を悪用して作成されたアカウントは再起動後も残ることから、このアカウントへの対応を行わない限り攻撃者が引き続きデバイスの制御をおこなうことが可能となる。
  • 10月20日頃より行われたインプラントのアップデートを受けてCisco Talosは新たに確認コマンドを公開しているが、マルウエアのコードを実際に動作させ確認する方法であることを念頭に慎重に確認を行う必要がある。
対応策③ 修正版の適用
  • 2023年10月22日(現地時間)に修正版が公開されたことに伴い、①および②の対応とともに修正版への更新を行う。ソフトウエア更新のライセンスが有効な場合は通常のチャネルを通じて、契約がない(あるいは代理店経由で入手が困難な)場合はCisco TACへ連絡を取り入手を行う。
  • 2023年10月22日時点で修正版の公開は一部のバージョンのみ。未公開のバージョンなどリリース状況の詳細についてはする。
Cisco IOS XEリリーストレイン 最初の修正版 公開の有無
17.9 17.9.4a 公開済
17.6 17.6.6a 準備中
17.3 17.3.8a 準備中
16.12 (Catalyst 3650/3850対応) 16.12.10a 準備中

脆弱性悪用の状況

顧客デバイスの異常検出を通じて発覚

Cisco Talosが今回の脆弱性発見の顛末と確認されたインプラントについてした。

  • 2023年9月28日にCiscoのTAC(テクニカル アシスタンス センター)に顧客のデバイスで異常な動作を特定したケースが開始されたことが発端。調査を行ったところ9月18日に関連する活動痕跡に不審なIPアドレスからcisco_tac_adminのユーザー名でローカルユーザアカウントの作成が含まれていた。これらの活動痕跡は10月1日まで続いたものの、アカウントを作成する以外の挙動は確認されなかった。
  • TACとTalos IRの調査により、10月12日同日に開始された追加の攻撃者による関連活動を確認。2つ目の不審なIPアドレスより、cisco_supportというユーザー名でローカルユーザーアカウントを作成した後、9月の事例とは異なり設定ファイル(cisco_service.conf)で構成されるインプラントのインストールなど、追加の活動が観測された。改ざんされた設定ファイルにはインプラントとやり取りをするために使用されるURIパスが定義される。インプラントを有効にするにはHTTP/HTTPSサーバー機能を再起動させる必要があるが、Cisco Talosが確認したある事例では再起動が行われなかったため、インストールされているにもかかわらず有効とはなっていなかった。
  • インプラントコードは/webui/logoutconfirm.html上から呼び出しを行うもので、されており*1、パラメータの指定によって3つの機能が動作する。なおインプラントがアップデートされたことに伴い、各機能へ接続する際にAuthorizationヘッダに特定の文字列を指定する必要がある。
パラメータ 実装概要
menu スラッシュで囲まれた文字列(インプラントのバージョンまたは設置日)を出力
logon_hash=1 ハードコードされた18文字の16進数を出力
logon_hash=(40文字の16進数)&common_type=(レベル) logon_hashのパラメータがハードコードされた文字列と同じかを確認し、レベルにsubsystemを指定するとシステムレベルで、ioxを指定すると特権レベル15で実行
  • このインプラントのインストールに際して、当初2021年に修正されたCVE-2021-1435()の悪用の可能性があると分析されていたが、その後の調査を経て別の脆弱性であるCVE-2023-20273であったことが判明している。CVE-2021-1435はKEVにも登録されていたが、現在はカタログから削除されている。

CiscoTalosが把握した当該脆弱性悪用活動に関連するIPアドレス

5.149.249[.]74
154.53.56[.]231
154.53.63[.]93

観測された攻撃者の実行コマンド
  • において、cisco_supportアカウントが作成された後、次のコマンドなどが実行されていたことが判明した。中には同じ日に同じ顧客環境が侵害された事例もあった。

show running-config
show voice register global
show dial-peer voice summary
show platform
show flow monitor
show platform
show platform software iox-service
show iox-service
dir bootflash:
dir flash:
clear logging
no username cisco_support
no username cisco_tac_admin
no username cisco_sys_manager

  • 攻撃者はコマンドを一通り実行した後、システムログの消去を行い、最後にcisco_supportアカウントの削除を行っている。cisco_tac_admincisco_sys_managerの削除を行うコマンドも実行しているが、Rapid7が分析したケースでは該当するアカウントの作成は行われていなかった。
広範に影響が及んでいる可能性
  • 、インターネットから接続可能なCisco IOS XEのWeb UIラベルがついたホスト数は約6万2千件。この内、日本に該当するものは696件。(2023年10月19日時点)
  • その後、経緯不明ながら多数あった侵害済ホストのインプラントが2023年10月21日より急減する事象が発生。*2 Onypheによれば、6万件あったインプラント観測された件数が数百台に減少したことを報告した。その後この急減はインプラントのアップデートであったことがCisco Talosの調査により明らかになった。接続する際にAuthorizationヘッダが必要な処理が追加されている。*3 Fox-ITも既存の実装より404応答を返す処理に着目し、当該実装をもって状況を確認した結果、依然として3万7千台以上のホストが侵害されているとみられることが判明した。*4
  • 複数のベンダが脆弱性を悪用したとみられる活動について報告を行っている。概要は以下の通り。
インターネットに接続されたCisco IOS XE のWeb UIをスキャンしたところ、数千のインプラントのインストールがされたホストを発見した。
バックドアがインストールされているとみられるホスト数が10月18日時点で41,983台あることを確認。感染が急激に増加傾向にある。
Shadowserver Cisco Talosが公開した確認方法に基づき3万2千800台を超えるCisco IOS XEが稼働するIPアドレスが侵害されていることを確認。
侵害されたデバイスの一部がさらなる攻撃に悪用されている。
自社の攻撃対象領域テレメトリーから、Lua 言語のインプラントを含む、少なくとも 22,074 個のホストを観測。

更新履歴

  • 2023年10月19日 PM 新規作成
  • 2023年10月22日 AM CVE-2023-20273が判明したことをうけ更新
  • 2023年10月23日 AM 修正版の一部公開に伴う更新
  • 2023年10月24日 PM インプラントアップデートに伴う修正

*1:アップデート前の実装コードは

*2:,Bleepingcomputer,2023年10月22日

*3:

*4: