狙われるCiscoルータのWebUI

CVE-2023-20198という脆弱性情報が公開されています。
これは、Cisco IOS XEのウェブユーザーインタフェースの権限昇格の脆弱性の情報です。
Cisco IOS XEはいわゆるCiscoルータのOSです。

このCisco IOS XEのウェブユーザーインタフェースは、管理操作の容易性を向上させるもので、これを使うことで設定を確認したり変更したりすることが容易に可能です。
もともとこの機構はユーザ認証を経て利用するものとなっているのですが、この機能に関連する脆弱性が確認され、すでに悪用が開始されていることが確認されています。

この脆弱性に対してシスコは「攻撃者に完全な管理者権限を付与し、攻撃者が影響を受けるルータを事実上完全に制御できるようになり、その後の不正行為が可能になる」とコメントしています。

この脆弱性により、誰でもリモートより認証なしに特権アカウントを作成し、システムを制御することが可能となります。
この脆弱性の悪用のための前提条件は、WebUIに到達できること、のみです。

この問題に関する対策は、現時点では選択肢がほとんどありません。
信頼できないインターフェイスに接続されているルータの場合にはWebUIを無効化することで対応します。
2023年10月17日時点ではこの問題に対応するバージョンは公開されていません。

HTTPサーバ機能を無効にするには、グローバルコンフィギュレーションモードで「no ip http server」または「no ip http secure-server」コマンドを使用します。
HTTPサーバーとHTTPSサーバーの両方が使用されている場合、HTTPサーバー機能を無効にするために両方のコマンドが必要です。
もちろん無効化が完了した後、その設定を再起動後も有効となるように保存することも忘れないようにしましょう。

悪用されている場合、2つの点で悪用の状況を確認することが可能です。

• 知らないアカウントが存在する
  脆弱性の悪用により、脅威アクターはアカウントの作成が可能です。
  自組織で作成していないアカウントが存在するかを確認することで侵害の状況を確認することが可能です。
• インプラントが存在する
  悪用されている場合、インプラントが設置されていることが考えられます。
  インプラントの設置の有無は次のコマンドで確認が可能です。
  curl -k -X POST “https[:]//DEVICEIP/webui/logoutconfirm.html?logon_hash=1”
  このコマンドが16進文字列を返した場合、インプラントは存在します。
  ただし、インプラントの設置後、インプラントを動作させるためにはWebUI機構のリスタートが必要となっていますので、インプラントがすでに設置済みだけれども単にまだ作用していないだけの場合、この方法での確認はできません。

悪用の状況が確認できない場合、前述の方法でWebUIを無効化しておきましょう。
悪用の状況が確認できてしまった場合、機器の初期化などによる深いレベルでの対応が必要となりそうです。

ちなみに、Shodanで確認すると、WebUIがインターネットに公開されているCiscoデバイスは約40,000台存在することが確認されています。

参考記事（外部リンク）：Active exploitation of Cisco IOS XE Software Web Management User Interface vulnerability
blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/