シスコ、攻撃で悪用されているIOSのゼロデイについて警告：CVE-2023-20109

シスコ、攻撃で悪用されているIOSのゼロデイについて警告：CVE-2023-20109

シスコは27日、セキュリティアドバイザリを公開してIOSおよびIOS XEソフトウェアのゼロデイ脆弱性CVE-2023-20109にパッチを適用するよう顧客へ呼びかけた。同社によれば、このゼロデイを悪用する試みがすでに発見されているという。

RCEにつながり得る境界外書き込みの脆弱性

CVE-2023-20109はIOSおよびIOS XEのGET VPN機能内に存在する境界外書き込みの脆弱性で、CVSSスコアは6.6、シスコによる深刻度評価は「Medium（中）」となっている。同社は、このゼロデイを悪用するにはグループメンバーまたはキーサーバーの管理権限が必要だと説明している。悪用が成功した場合、リモートの攻撃者は任意コードを実行してシステムを完全に制御したり、リロードを引き起こしてDoS状態を生み出したりすることができるようになるという。

すでに環境内に侵入した攻撃者が悪用か

CVE-2023-20109を悪用する試みはすでに観測されているとされる。ただ、前述の通り、同ゼロデイの悪用を成功させるにはグループメンバーまたはキーサーバーの管理権限が必要になる。グループメンバーまたはキーサーバー間の通信はすべて暗号化・認証されることも踏まえると、悪用を試みた攻撃者はすでに環境内へ侵入していた可能性が考えられるとBleepingComputerは指摘している。なお、シスコはアドバイザリ内で攻撃に関する詳細を提供しておらず、修正済みのソフトウェアリリースにアップグレードすることを強く推奨するにとどめた。

（情報源：BleepingComputer “Cisco urges admins to fix IOS software zero-day exploited in attacks”、Cisco “Cisco IOS and IOS XE Software Cisco Group Encrypted Transport VPN Software Out-of-Bounds Write Vulnerability”）

9月29日：その他の注目ニュース

米政府閉鎖の場合、CISA職員の80%が一時帰休となる可能性

SecurityWeek – September 28, 2023

米連邦議会では政府予算案をめぐる協議が難航しており、今月中に合意できなければ政府機関の一部が閉鎖される懸念が高まっている。このまま上下院の足並みがそろわない場合、新会計年度が始まる10月1日に予算が失効し、政府資金が不足して数十万人の連邦政府職員が一時帰休になる可能性があると報じられているが、この「数十万人」には、政府機関および民間セクターをサイバー脅威から保護する上で重要な役割を担うCISAの職員も含まれる。国土安全保障省は閉鎖期間中に各機関で業務を継続する職員数を発表しているが、これによれば、予算失効後も業務を続けられるCISAの職員は571人。CISAの全職員数は3,117人（6月17日時点）であることから、全体の80%以上の職員が一時帰休となる計算だ。

とはいえ、セキュリティ専門家のJake Williams氏がSecurityWeekに語ったところによると、政府機関が閉鎖されたとしても、サイバーセキュリティ業務に携わるほとんどの政府職員が必要不可欠な人材として分類され、一時帰休が免除される可能性が高いという。ただしこれにはセキュリティ監視やインシデント対応のような役割は含まれるが、セキュリティガバナンスのような役割は含まれないのが一般的。またWilliams氏は、多くの政府機関において戦術的なセキュリティ業務の大部分は請負業者が担っている点にも触れ、これまでこうした業者が一時帰休を免除されたケースはなかったと述べた。同氏は、閉鎖がどのようなシナリオで行われるにせよ、セキュリティ監視や対応に従事できる職員数は減ることになるだろうと指摘している。