シスコシステムズのネットワークOS「Cisco IOS XE」の脆弱性を巡る状況が目まぐるしく変わっている。対象の脆弱性を突いたサイバー攻撃や不正侵入が既に確認されており、同ソフトを使っている場合は迅速に対処を取ることが望まれている。特にインターネットからアクセス可能な状態で使用している場合にはリスクが高く注意が必要。

シスコは10月16日(米国時間)、「Multiple Vulnerabilities in Cisco IOS XE Software Web UI Feature」において、「Cisco IOS XE Software」のWeb UI機能に脆弱性が存在すると伝えた。この脆弱性は「CVE-2023-20198」として特定され、深刻度は共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)のスコア値で最高値の「10.0」で緊急(Critical)の脆弱性と発表されている(参考「シスコ製品にCVSS 10.0の緊急脆弱性、確認と対応を | TECH+(テックプラス)」)。

  • Multiple Vulnerabilities in Cisco IOS XE Software Web UI Feature

    Multiple Vulnerabilities in Cisco IOS XE Software Web UI Feature

しかし、すぐにこの製品には別の脆弱性「CVE-2023-20273」が存在することが明らかになった。追加で特定されたこの脆弱性の深刻度は共通脆弱性評価システム(CVSS)のスコア値で「7.2」と分析され重要(High)と発表されている(参考「シスコのIOS XE Softwareのセキュリティ問題続く、追加で重大な脆弱性が発覚 | TECH+(テックプラス)」)。

シスコは10月23日(米国時間)、「Multiple Vulnerabilities in Cisco IOS XE Software Web UI Feature」の情報を更新し、「CVE-2023-20198」および「CVE-2023-20273」の脆弱性を修正するアップデートについて公開した。本稿執筆時点で、修正版に関して次の情報が明らかされている。

対象バージョン 最初の修正バージョン 提供日
17.9 17.9.4a すでに提供済み
17.6 17.6.6a 検討中
17.3 17.3.8a 検討中
16.12 (Catalyst 3650および3850) 16.12.10a 検討中

修正版が公開されるまでは、提供されているセキュリティアドバイザリの内容に従ってこの脆弱性の影響を受けるかどうかの確認を行うとともに、回避策を適用することが望まれる。提供され次第、修正版へアップデートすることが期待されている。

この件に関しては、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)が「Guidance for Addressing Cisco IOS XE Web UI Vulnerabilities | CISA」を公開および更新して注意を呼びかけているほか、カタログに追加するなどして組織に確認を求めている(参考「CISA Adds One Known Exploited Vulnerability to Catalog | CISA」)。

また、IPA(Information-technology Promotion Agency, Japan)も「Cisco 製 Cisco IOS XE の Web UI の脆弱性について(CVE-2023-20198 等) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構」において、注意喚起を行っている。