CVE-2023-20198：Cisco IOS XE のゼロデイ脆弱性の積極的悪用

2023年10月17日現在、CVE-2023-20198に対するパッチはありません（※)。Cisco Talosが彼らのブログで指摘したように、これは野生で活発に悪用されています。10月17日の時点で、公衆インターネット上でIOS XEを実行しているデバイスが相当数あるようです。インターネット上でIOS XEが稼動しているデバイスの数はさまざまですが、攻撃対象領域は比較的広いようです。

シスコが観測した活動では、攻撃者は疑わしいIPアドレスから（悪意のある）ローカル・ユーザー・アカウントを作成していました。さらに、攻撃者がシステムレベルまたはIOSレベルで任意のコマンドを実行できるようにするインプラントの展開も行われています。Ciscoは、彼らが観察した悪意のある行動について、ここに広範な説明をしていています。

※訳注：2023年10月23日現在、同脆弱性に対する一部アップデートの提供が開始されていることを確認しています。

対象製品

CiscoのCVE-2023-20198に関する公開アドバイザリでは、Cisco IOS XEソフトウェアがWeb UI機能を有効にしている場合に脆弱性があると述べているだです（UIはip http serverまたはip http secure-serverコマンドで有効になる）。Cisco は、IOS XE を確実に実行する製品のリストを提供していませんが、IOS XE の製品ページには、Catalyst、ASR、NCS ファミリを含むいくつかの製品がリストアップされています。

この勧告によると、システムにログインし、CLI で show running-config | include ip http server|secure|active コマンドを使用して、グローバル・コンフィギュレーションに ip http server コマンドまたは ip http secure-server コマンドが存在するかどうかを確認することで、HTTP サーバー機能がシステムで有効になっているかどうかを判断できます。システム・コンフィギュレーションにどちらかのコマンド、または両方のコマンドが存在する場合、ウェブ UI 機能が有効になっている（そしてシステムが脆弱である）ことを示します。

Cisco の勧告では、ip http server コマンドが存在し、コンフィギュレーションに ip http active-session-modules none も含まれている場合、HTTP 上ではこの脆弱性は悪用できないと規定しています。ip http secure-server コマンドが存在し、コンフィグレーションに ip http secure-active-session-modules none も含まれている場合、この脆弱性は HTTPS 上では悪用できません。

緩和ガイダンス

組織は、パッチの代わりに、緊急時にインターネットに面したシステムのWeb UI（HTTPサーバー）コンポーネントを無効にする必要があります。HTTPサーバー機能を無効にするには、グローバル・コンフィグレーション・モードでno ip http serverまたはno ip http secure-serverコマンドを使用します。Ciscoの勧告によると、HTTPサーバーとHTTPSサーバーの両方が使用されている場合、HTTPサーバー機能を無効にするには両方のコマンドが必要です。また、組織は Web UI と管理サービスをインターネットや信頼できないネットワークに公開しないようにする必要があります。

IOS XE システムのウェブ UI コンポーネントを無効にし、インターネットへの露出を制限することで、既知の攻撃ベクトルによるリスクは軽減されますが、脆弱なシステムに既に導入されている可能性のあるインプラントによるリスクは軽減されません。Rapid7 は、可能な限りインシデント対応手順を起動し、Cisco が共有しているIOCを優先的に調査することを推奨します。

シスコが観察した攻撃者の行動

Cisco TalosのCVE-2023-21098に関するブログには、この脅威キャンペーンの一環として展開されていることが確認されたインプラントの完全な分析が掲載されています。この分析全体を読むことを強くお勧めします。インプラントは、/usr/binos/conf/nginx-conf/cisco_service.conf というファイルパスの下に保存され、16 進数文字で構成された 2 つの変数文字列を含んでいます。インプラントは永続的ではありませんが（デバイスを再起動すると削除されます）、攻撃者が作成したローカル・ユーザー・アカウントは永続的です。

Ciscoは、CVE-2023-20198に脆弱なデバイスにアクセスした後、脅威行為者が2021年にパッチが適用されたCVE-2021-1435を悪用してインプラントをインストールしたことを確認しています。Talosはまた、CVE-2021-1435に対して完全にパッチが適用されたデバイスが、"まだ未確定のメカニズムによって "インプラントのインストールに成功していることも確認しているとしています。

攻撃者の行動の迅速な7観察

Rapid7 MDR はこれまでに、CVE-2023-20198 が顧客環境で悪用された少数の事例を確認しており、その中には同じ日に同じ顧客環境で悪用された複数の事例も含まれています。私たちのチームが入手可能な証拠から特定した侵害の指標は、Cisco Talos が説明したものと同様のテクニックが使用されていることを示しています。

Rapid7は調査の過程で様々なテクニックを確認しました。エクスプロイト後にシステム上で実行された最初の悪意のあるアクティビティは、adminアカウントに関連するものでした。以下はこのログファイルからの抜粋です：
SYS-5-CONFIG_P: vty1 上の admin としてコンソールからプロセス SEP_webui_wsma_http によってプログラム的に構成された 脅威行為
者は、ユーザコンテキスト admin の下で、コマンド username cisco_support privilege 15 algorithm-type sha256 secret * を使用して
ローカルアカウント cisco_support を
作成しました。その後、脅威行為者は、この新しく作成された cisco_support アカウントを使用してシステムに認証し、以下を含むいくつかのコマンドを実行し始めました：

show running-config
show voice register global
show dial-peer voice summary
show platform
show flow monitor
show platform
show platform software iox-service
show iox-service
dir bootflash:
dir flash:
clear logging
no username cisco_support
no username cisco_tac_admin
no username cisco_sys_manager

これらのコマンドの完了後、脅威行為者はアカウント cisco_support を削除しました。cisco_tac_admin と cisco_sys_manager のアカウントも削除されましたが、Rapid7 はこれらのアカウントに関連するアカウント作成コマンドを利用可能なログで確認していません。

脅威者はまた、システムのログを消去し、痕跡を消すためにクリアロギングコマンドを実行した。Rapid7は2023年10月12日に2回目の侵入のログを確認しましたが、ログがクリアされていたため、1回目の侵入のログを確認することはできませんでした。

その証拠に、脅威行為者によって実行された最後のアクションは、aaa という名前のファイルに関するものでした：
%WEBUI-6-INSTALL_OPERATION_INFO: User: cisco_support, Install Operation: ADD aaa

10月12日に同じ環境で発生した2つの侵入を比較すると、観察された技術に若干の違いがあります。例えば、ログの消去は最初の侵入でのみ実行されましたが、2回目の侵入では追加のディレクトリ閲覧コマンドが含まれていました。

妥協の指標

Cisco Talos の CVE-2023-20198 に関するブログでは、IOS XE を実行しているデバイス上で、説明のつかない、または新規に作成されたユーザーを探すよう組織に指示しています。Talosが観測したインプラントが存在するかどうかを特定する1つの方法は、デバイスに対して以下のコマンドを実行することです：

curl -k -X POST "https[:]//DEVICEIP/webui/logoutconfirm.html?logon_hash=1"

上記のコマンドを実行すると、デバイスの Web UI にリクエストが送信され、インプラントが存在するかどうかが確認されます。リクエストが 16 進数の文字列を返した場合、インプラントが存在します（インプラントがアクティブになるには、インプラントが展開された後に攻撃者によってウェブサーバが再起動される必要があることに注意してください）。Cisco のブログによると、デバイスが安全でないウェブインタフェースにのみ設定されている場合、 上記のチェックでは HTTP スキームを使用する必要があります。

その他のシスコIOC

• 5.149.249[.]74
• 154.53.56[.]231

ユーザー名

• cisco_tac_admin
• cisco_support

また、Cisco Talosは、デバイスが侵害された可能性があるかどうかを判断するために、以下のチェックを実行するよう助言しています：

システムログに以下のログメッセージがないか確認してください。"user "には、cisco_tac_admin、cisco_support、またはネットワーク管理者が知らない構成済みのローカルユーザを指定できます：

• %SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as user on line
• %SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023

注: %SYS-5-CONFIG_P メッセージは、ユーザが Web UI にアクセスしたインスタンスごとに表示されます。メッセージに新しいユーザ名または不明なユーザ名が含まれているかどうかを確認します。

組織はまた、filenameが不明なファイル名であり、期待されるファイルインストールアクションに関連しない、以下のメッセージがシステムログにないか確認する必要があります：

• %WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filename

Rapid7のお客様

InsightVM および Nexpose の顧客は、Web UI が有効になっている Cisco IOS XE デバイスを検索する認証済み脆弱性チェックにより、CVE-2023-20198 への露出を評価できます。このチェックは、本日（10月17日）のコンテンツリリースで利用可能です。

InsightIDR および Rapid7 MDR の顧客は、Rapid7 の広範な検出ルールのライブラリによって既存の検出カバレッジを有している。以下の検知ルールが導入され、Ciscoから提供されたIPアドレス経由でこの脆弱性に関連するアクティビティに対してアラートを発しています：

• Network Flow - CURRENT_EVENTS Related IP Observed
• Suspicious Connection - CURRENT_EVENTS Related IP Observed

更新情報

2023年10月17日Rapid7が観測した攻撃者の行動とIOCを更新しました。

※本ブログは英語版ブログ "CVE-2023-20198: Active Exploitation of Cisco IOS XE Zero-Day Vulnerability" の機械翻訳版です。最新情報等につきましては、原文をご参照ください。