IOS XEのゼロデイ狙った攻撃で1万台超のシスコデバイスが侵害される:CVE-2023-20198
16日にシスコが開示したIOS XEソフトウェアにおける重大なゼロデイ脆弱性CVE-2023-20198を悪用した攻撃により、1万台を超えるCisco IOS XEデバイスが侵害され、悪意あるインプラントに感染させられていると、VulnCheckが報告。この脆弱性はWeb User Interface(Web UI)機能が有効化されていて、HTTPまたはHTTPSサーバー機能が有効なデバイスに影響を与えるもので、パッチはまだリリースされていない。VulnCheckがインターネットに接続されているCisco IOS XEのWebインターフェースをスキャンしたところ、感染済みのホストが約1万台見つかったのだという。
攻撃者は侵害したシステムで中間者攻撃などを実施できる恐れ
CVE-2023-20198の悪用に成功した攻撃者は、最高レベルの権限(権限レベル15)を持つアカウントを侵害されたデバイス上に作成できるようになる。これによりデバイスを完全に乗っ取り、さらなる不正な活動を行うことが可能になる恐れがある。VulnCheckは、IOS XEで特権アクセスを得た攻撃者はネットワークトラフィックの監視や保護されているネットワークへの移動、中間者攻撃の実施といった活動を行える可能性が高いと指摘し、「これは悪い状況だ」と述べている。
3万台以上が侵害されているとの報告も
なお、VulnCheckのスキャンで見つかった感染済みシステムの件数は約1万台だったものの、同社はShodan/Censysでリストアップされたデバイスの約半分しかスキャンしておらず、「件数は増加していっている」とBleepingComputerに伝えたという。現に、Censysは18日のXでの投稿において「34,140」のホストが侵害の兆候を有していると報告している。Aves NetsecのCEOが共有したShodanでの調査結果によれば、Web UIを有効化しているシスコデバイスが14万台以上示されていることから、侵害件数は今後さらに多くなることも考えられる。シスコがパッチをリリースするまでの間、管理者にはHTTPサーバー機能を無効化し、侵害の兆候がないかを確認することが強く推奨されている。
(情報源:BleepingComputer “Over 10,000 Cisco devices hacked in IOS XE zero-day attacks”、VulnCheck ”Widespread Cisco IOS XE Implants in the Wild”)