2023年10月17日 / 最終更新日時 : 2023年11月2日 テクバン ネットワークソリューション担当 Cisco

Cisco IOS XE WEBUI脆弱性(CVE-2023-20198)

こんにちは。ネットワークソリューション特集 編集部です。
今回は、Cisco IOS XE WEBUI脆弱性(CVE-2023-20198)についてご紹介します。

メーカリリース

WEBUI機能の脆弱性により、未認証ユーザが特権レベル 15 のアクセス権を持つアカウントを作成することが可能になります。

Cisco
 
Cisco Security Advisory: Cisco IOS XE Software Web UI Privilege Escalation Vu...
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z
Cisco is aware of active exploitation of a previously unknown vulnerability in the web UI feature of Cisco IOS XE Software when exposed to the internet or to untrusted networks. This vulnerability allows a remote, unauthenticated attacker to create an account on an affected system with privilege level 15 access. The attacker can then use that account to gain control of the affected system.For steps to close the attack vector for this vulnerability, see the Recommendations section of this advi...

対策

インターネットからWEBUIにアクセス出来る場合は早急にWEBUI機能を無効にしてください。

no ip http server
no ip http secure-server

また、すでに侵入されているか確認をお願いします。

下記のようなログで見知らぬユーザ名がログインしている場合は侵入されている可能性があります。

%SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as user on line

%SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023

現時点では修正バージョンはリリースされていません。

【2023/10/24追記】

ver17.9.xの修正バージョンがリリースされました。ver17.9以下のバージョンはこれからリリースとなります。

【2023/10/26追記】

侵入の痕跡が確認できるコマンドがメーカからアナウンスされています。

PCから下記のコマンドを実施してリクエストが、「0123456789abcdef01」などの16進数が表示されている場合は侵入されている可能性があります。

curl -k -H "Authorization: 0ff4fbf0ecffa77ce8d3852a29263e263838e9bb" -X POST "https://systemip/webui/logoutconfirm.html?logon_hash=1"

【2023/10/30追記】

ver17.6.xの修正バージョンがリリースされました。ver17.3以下のバージョンはこれからリリースとなります。

【2023/11/2追記】

ver17.3.x、ver16.12.xの修正バージョンがリリースされました。これでサポート中OSの修正版が出揃いました。

まとめ

  • Cisco IOS XEのWEBUI脆弱性
  • すでに悪用あり
  • 修正バージョン未リリースなのでWEBUI機能無効が推奨

今回はCisco IOS XE WEBUI脆弱性(CVE-2023-20198)についてご紹介しました。

関連記事:

Cato Networks SASEのSSO(AzureAD編) Log4j 脆弱性対応(CVE-2021-44228)の当社取り扱い製品(NW製品)状況 CUCM 11.5のバージョンアップ計画はお済みですか? Cisco WIFI5対応AP(Aironet 18,28,3800シリーズ)の販売終了
カテゴリー
Cisco
タグ
Zscaler

前の記事

Zscaler Service EntilementのZPAタブが表示されない
2023年10月17日
Cato Networks

次の記事

Cato Networks プロダクトアップデート(2023/10/16)
2023年10月17日