Ciscoは米国時間10月16日、同社の「Cisco IOS XE」ソフトウェアに脆弱性(CVE-2023-20198)が存在することを明らかにした。影響を受ける組織は、速やかに対応を行う必要がある。
この脆弱性は、インターネットや信頼性の低いネットワークに接続されており、HTTPまたはHTTPSを使用したWeb UI機能を有効にしている物理・仮想デバイスに影響を与えるものだ。影響の深刻度はもっとも深刻な「Critical(重大)」に分類されており、悪用されると、攻撃者が特権レベル15のアクセスを持つアカウントを作成し、デバイスを完全に制御できようになる。
Ciscoはすでにこの脆弱性を悪用したゼロデイ攻撃が活発に行われていることを認識しており、攻撃に関する詳しい情報を提供している。展開されているゼロデイ攻撃では、攻撃者がシステム内にインプラント(悪意のあるプログラム)を送り込む。このインプラントはスクリプト言語である「Lua」で書かれたもので、攻撃者はこのプラントを使用してシステムレベル、あるいはIOSレベルで任意のコマンドを実行できる。デバイスを再起動するとインプラントは削除されるが、作成されたアカウントは残り続ける。
Ciscoはこの脆弱性に関するアドバイザリーを公表している。この脆弱性を修正するアップデートはまだ配付されていない。同社は、対策としてWeb UI機能をインターネットや信頼性の低いネットワークに接続しないこと、インターネットへ接続している場合はHTTPサーバ機能を無効にすることを強く推奨しているほか、すでに攻撃を受けているかどうかを判別するための情報を提供している。
Ciscoは、少なくとも9月18日からこの脆弱性を悪用したゼロデイ攻撃が行われていたことを認識している。Ars Technicaは、インターネットに接続されているデバイスを調べる検索ツールである「SHODAN」を使用した調査をもとに、影響を受けるデバイスの数は8万台を超える可能性があると報じている。
