CVE-2023-20198 検出: Cisco IOS XE ゼロデイ脆弱性がインプラントをインストールするために積極的に悪用される
目次:
長期にわたるBaladaインジェクターキャンペーンの新たな急騰に続き、 CVE-2023-3169を悪用する、人気のあるソフトウェア製品での別の重大なセキュリティバグが注目を集めている。Cisco IOS XEソフトウェアに影響を与える新しい特権昇格の脆弱性が、影響を受けたデバイスにインプラントをインストールするために野放しで悪用されている。
CVE-2023-20198として知られる発見されたゼロデイ脆弱性は、リモートで認証されていない攻撃者が侵害されたシステム上で特権レベルのアカウントを生成することを可能にします。パッチは現在利用できませんが、CVE-2023-20198は潜在的にハッキングされたインスタンスに重大なセキュリティリスクをもたらします。
CVE-2023-20198の悪用試行を検出
今日の急速に進化する脅威の風景では、組織のインフラに対する防御を破るために攻撃者によってますます利用されるような、ビジネス関連のアプリケーションに存在する脆弱性の絶え間ない急増を特徴としており、脅威検出には積極的で敏捷なアプローチが必要です。SOC Primeプラットフォームは、SOCチームのサイバー防御能力と効率を強化するように設計された一連の強力なサイバーセキュリティツールを提供します。
リアルタイムの脅威インテリジェンスの領域を探求して、攻撃者によって使用される最新の戦術、技術、および手続き(TTP)に関する世界最速のフィードを使用して、新たな脅威に先んじて防御を強化します。CVE-2023-20198の悪用試行に対する防御を強化するために、SOC Primeは、悪意のある内部インプラントや、環境内で脆弱性を悪用しようとする内部攻撃者に関連する可能性のある疑わしいウェブ要求パターンを識別する助けとなるキュレーションされたSigmaルールを提供します。この検出は MITRE ATT&CK®フレームワーク にマッピングされ、詳細なメタデータと共に提供されており、調査を効率化します。
可能なCVE-2023-20198(Cisco IOS XEソフトウェアのWeb UI特権昇格脆弱性)悪用パターン(プロキシ経由)
このルールは、18のSIEM、EDR、XDR、およびデータレイク技術をサポートし、リモートサービスの悪用(T1210)技術を伴う横移動の戦術に対処します。
脅威の調査を強化するために、SOC Primeのユーザーは下記のSigmaルールも活用して、デバイス上の疑わしいアカウントを特定することにより、可能なCVE-2023-20198の悪用試行を検出できます(デバイスベンダーによって提供された IOCリストを参照)。特に、このルールの一部は、既に存在し、管理活動に使用されているすべての正当なアカウントを排除するために、エンドユーザーによって適切に更新される必要があります(プレースホルダーは placeholder_for_legit_account1, placeholder_for_legit_account2など)。
可能なCVE-2023-20198(Cisco IOS XEソフトウェアのWeb UI特権昇格脆弱性)悪用パターン(キーワード経由)
このルールは、xxのセキュリティ分析ソリューションと互換性があり、MITRE ATT&CKにマッピングされ、Exploit Public-Facing Application(T1190)およびExploitation of Remote Services(T1210)技術を伴う初期アクセスおよび横移動の戦術に対処します。
新たに出現する重大な脆弱性に対する完全な検出スタックを探るには、以下の 検出を探る ボタンを押してください。すべてのルールは、脅威調査を強化するために、広範なサイバー脅威コンテキストおよびCTIと共に提供されます。
CVE-2023-20198分析
Ciscoは最近、以前に公開されていなかったゼロデイ脆弱性のCVE-2023-20198として指定されたアクティブな悪用を確認する セキュリティアドバイザリ を発表しました。対応するセキュリティ通知で提供された推奨事項は、確立されたベストプラクティスと一致し、インターネットにさらされた管理インターフェイスのリスク軽減のために米国政府が以前に発行した サイバーセキュリティ指令 に従っています。
新たに発見されたセキュリティバグは、Cisco IOS XEソフトウェアのWeb UI機能に影響を与え、最高のCVSSスコア10.0を持っています。この特権昇格の脆弱性を利用することで、制限のないコマンドアクセスを可能にし、システムが再起動され、その構成が変更され、攻撃者がアカウントを利用して影響を受けたシステムをさらに制御することができます。 CiscoのTalosユニット は、CVE-2023-20198をターゲットにした攻撃の痕跡を9月28日に最初に特定しましたが、対応する活動は9月18日にさかのぼります。この発見は、顧客のデバイスでの異常な活動に対する調査の結果として行われました。
10月12日に、 研究者たちは、 同じ日から始まった別の一連の活動を検出し、それが同じハッカー集団に関連している可能性があることを発見しました。9月の事件とは異なり、後者ではLuaベースのインプラントの展開も含まれていました。このインプラントは非永続的であり、デバイスが再起動されると削除されます。しかし、最近設定されたローカルユーザーアカウントは、システムが再起動されても動作し続けます。これらの新しいユーザーアカウントはレベル15の特権を持ち、デバイスへの完全な管理者アクセスを許可されています。この新たに設立されたローカルユーザーアカウントは、システムが再起動されても動作し続けます。
インターネットまたはセキュアでないネットワークからシステムにアクセス可能な場合、CVE-2023-20198を悪用する攻撃試行は成功することがあります。発表されたセキュリティバグは、HTTPまたはHTTPSサーバー機能が有効になっているCisco IOS XEソフトウェアを実行するインスタンスに影響を与えます。
この脆弱性に対処するための修正、緩和策、または回避策が存在しないことを踏まえ、 Ciscoは、 インターネットにさらされたシステム上でHTTPサーバー機能を無効にして侵入を防ぐことを推奨しています。
VulnCheck は、公開されているCisco IOS XEのWebインターフェースをスキャンし、何千もの侵害されたホストを発見しました。IOS XEシステムへのアクセス権限が高められることで、攻撃者はネットワークトラフィックを監視し、セキュアなネットワークに侵入し、さまざまな中間者攻撃を実行できる可能性があります。
影響を受けるインスタンスのリストに関する現在のデータがない中、インターネットに面したWeb UIを持つ何千ものCiscoデバイスが、CVE-2023-20198の悪用試行に潜在的にさらされる可能性があります。まだパッチがリリースされていない間、組織は侵入からそのインフラを防御するために、CVE-2023-20198に対する効果的な保護を探しています。 脅威検出マーケットプレイス に依存して、常に先を行くために、ゼロデイを含む最新の脅威に関する行動ベースの検出アルゴリズムとコンテキストのグローバルフィードにアクセスしてください。
