最近、 Cisco IOS XEのゼロデイ 脆弱性がサイバーセキュリティの業界で話題になっています。今回のゼロデイ脆弱性は、シスコ(Cisco)が開発したIOS XEソフトウェアの有効化されたウェブUI(Web UI)で発見されました。実際の攻撃に積極的に悪用されている今回のゼロデイ脆弱性はCVE-2023-20198とCVE-2023-20273です。そのうち、CVE-2023-20198は最も高いCVSSスコアである10点を付与され、シスコはこの脆弱性について「攻撃者が特権レベル15を持って被害者のシステムにアクセスできるようにする脆弱性」だと説明しました。Cisco IOS XEのゼロデイ脆弱性を悪用した攻撃は、すべてのコマンドを実行し、様々な環境設定の項目を変更することができるため、想像以上に深刻です。シスコは10月16日、2つの脆弱性に対するセキュリティ勧告を発表し、現時点ではIOS XEのWeb UI機能を無効にすることが唯一の防御策だと述べました。
Cisco IOS XEゼロデイの脅威にさらされているデバイスの検知方法
Cisco IOS XEゼロデイの脅威にさらされているデバイスを検知する検索クエリは、「WebUI Product: “OpenResty”」です。当クエリはシスコのWeb UIが駆動されるOpenRestyの製品を見つけ出すクエリであり、インターネットでアクセスできるCisco IOS XEのWeb UIのデバイスを見つけ出せます。
Criminal IPのIT資産検索でProductフィルターを利用すると、特定の製品が使われているIPアドレスを検索することができます。
検索結果、OpenRestyサーバーで動作している56,000以上のCisco IOS XEのデバイスが発見されました。シスコは、世界的な認知度を持っているため、世界中でそのデバイスを使っていることが確認できます。総計176ヶ国でCisco IOS XE Web UIのデバイスを利用していることに見えます。そのうち、アメリカが9,599で最も使用量が多い国であり、その次が4,131のフィリピンと4,080のペルーでした。
Cisco IOS XEゼロデイのデバイスに関する自律システムの統計
Criminal IPの要素分析機能でas_nameフィルターを利用し、Web UIの機能に関するデバイスを利用している自律システムの統計を確認できます。
統計によると、上位にランクされた自律システムは家庭と企業にインターネットサービスを提供するISP(インターネットサービスプロバイダー)が集計されました。フィリピンの通信会社である「globe telecoms」が2,607で1位にランクされ、チリの通信会社「ctc. corp s.a. telefonica empresas」が2,334で2位、ペルーの通信会社「america movil peru s.a.c.」が2,113で3位にランクされました。
現在、Cisco IOS XE Web UIのゼロデイ脆弱性はセキュリティパッチが公開されていない状態で、当脆弱性を悪用したまた別の攻撃の可能性に関してリサーチが進んでいます。Cisco IOS XEのデバイスのユーザーであれば、随時に公式サイトに掲載される最新のセキュリティ勧告をチェックすることをお勧めします。
関連してMOVEitゼロデイ:データ流出攻撃に漏洩されたサーバーを検知をご参照ください。
当レポートはサイバー脅威インテリジェンス検索エンジン「Criminal IP」のデータに基づいて作成されました。只今Criminal IPの無料アカウントを作成し、レポートに引用された検索結果の確認やより膨大な脅威インテリジェンスを自由に検索いただけます。
データの提供:Criminal IP(https://www.criminalip.io/ja)
ご参照:
