技術情報・コラム記事
セキュリティ

2023年10月 セキュリティ情報(Cisco IOS XE の脆弱性 [CVE-2023-20198]など)

目次

ご挨拶

インフラ業務と並行しつつ「セキュリティの町医者」を目指し日々精進している三浦です。

2023年10月に収集した脆弱性/インシデント情報から注目いたしました各種情報を掲載いたします。
セキュリティ対策や推進に少しでもご活用いただければ幸いです。

注目した脆弱性(Cisco IOS XE の脆弱性 [CVE-2023-20198])

情報公開日:2023/10/16(現地時間)    

一次情報元(引用元) "Cisco Systems, Inc."Multiple Vulnerabilities in Cisco IOS XE Software Web UI Feature
その他、情報ソース "Cybersecurity and Infrastructure Security Agency" CISA Adds One Known Exploited Vulnerability to Catalog
"IPA" Cisco 製 Cisco IOS XE の Web UI の脆弱性について(CVE-2023-20198 等)
"JPCERT/CC" Cisco 製 Cisco IOS XE の Web UI の脆弱性について(CVE-2023-20198 等)
"Cybersecurity Help s.r.o." Multiple vulnerabilities in Cisco IOS XE Web UI software
CVE番号及び深刻度 CVE番号:CVE-2023-20198  深刻度:CVSSスコア 10.0
脆弱性内容 シスコシステムズ合同会社は同社のネットワーク製品のOSとして搭載されているCisco IOS XEに修正前に悪用(ゼロデイ攻撃)が確認された脆弱性「CVE-2023-20198」を公開した。当該脆弱性はリモートから悪用可能で、攻撃が成立すると、管理者に相当するアカウントを作成される恐れがあります。
想定される影響 作成された管理者用アカウントにより、当該製品の乗っ取り、DoS、情報漏えいなど不特定多数の影響を受ける可能性があります。
影響を受ける製品 Web UI 機能が有効になっているすべての Cisco IOS XE ソフトウェア
解決策 ・当該脆弱性に対応したバージョンへのUpdate
 ⇒詳細については「一次情報元(引用元)」でご確認ください。
 ⇒日本時間10/31時点において、Cisco IOS XE ソフトウェア リリース トレイン 17.3はまだ修正バージョンが公開されていない。
  ●「Web UI機能を無効化する」「Web UI機能へのアクセス制限」を行うといった対応(緩和策)を行うことを推奨している。
コメント 当該脆弱性公表後、すぐに同様に悪用が確認されたコマンドインジェクションの脆弱性「CVE-2023-20273」も同ソフトウェアで公開された。
また、セキュリティベンダの調査では3万件以上が侵害されているという報告もある。
早急に一次情報元の確認や保守ベンダへの問合せを行い、最優先で対応を行うことを強くお勧めいたします。

その他、注目した脆弱性/ソフトウェアUpdate情報

2023年9月下旬の情報も含まれております。

日付 ソフトウエア 情報/コメント
2023/9/28 Microsoft Edge Microsoft 社はMicrosoft Edge のセキュリティアップデートを実施。悪用が確認された脆弱性「CVE-2023-5217」を修正している。

"MRelease notes for Microsoft Edge Security Updates (September 29, 2023)"
https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#september-29-2023
2023/9/28 Mozilla Firefox 各製品/Thunderbird Mozilla 社はFirefox /Firefox ESR /Firefox Focus for Android /Firefox for Android /Thunderbird のセキュリティアップデートを公開。影響度は全て「Critical」に設定されており、悪用が確認された脆弱性「CVE-2023-5217」を修正している。

"Mozilla Foundation Security Advisory 2023-44 Security Vulnerability fixed in Firefox 118.0.1, Firefox ESR 115.3.1, Firefox for Android 118.1.0, Firefox Focus for Android 118.1.0, and Thunderbird 115.3.1."
https://www.mozilla.org/en-US/security/advisories/mfsa2023-44/
2023/10/2 Android Google 社は、Androidのセキュリティ更新プログラムを公開。なお、限定的かつ標的を絞った悪用を受けている可能性があるという「CVE-2023-4863」「CVE-2023-4211」についても修正されている。

"Android Security Bulletin--October 2023"
https://source.android.com/docs/security/bulletin/2023-10-01
2023/10/3 Google Chrome Google 社はPC 版のWeb ブラウザ Google Chrome のアップデートを公開。深刻度「High」の脆弱性1件のセキュリティ修正を行っている。

"Stable Channel Update for Desktop [Tuesday, October 3, 2023]"
https://chromereleases.googleblog.com/2023/10/stable-channel-update-for-desktop.html
2023/10/4 Apple 社複数製品 Apple 社はiOS /iPad OSに存在する脆弱性に対するセキュリティアップデートを公開。悪用が確認されている脆弱性の修正が行われているため、早急にアップデートを行うことを強くお勧めする。

"About the security content of iOS 17.0.3 and iPadOS 17.0.3"
https://support.apple.com/en-us/HT213961
2023/10/4 Confluence Data Center and Server Atlassian 社はConfluence Data Center and Server に対するセキュリティアップデートを公開。悪用が確認されている「細工したリクエストを送ることで管理者アカウントが作成が行える脆弱性」を修正している。早急にアップデートを行うことを強くお勧めする。

"CVE-2023-22515 - Broken Access Control Vulnerability in Confluence Data Center and Server"
https://confluence.atlassian.com/security/cve-2023-22515-privilege-escalation-vulnerability-in-confluence-data-center-and-server-1295682276.html
2023/10/10 F5 社複数製品 F5 社は同社製品であるBIG-IPをはじめ、複数製品のセキュリティアップデートを公開。

"K000137053: Overview of F5 vulnerabilities (October 2023)"
https://my.f5.com/manage/s/article/K000137053?utm_source=f5support
2023/10/10 Microsoft 社複数製品 Microsoft社は、複数のソフトウェアに対する月例セキュリティ更新プログラムを公開。なお、悪用が確認された脆弱性3件(第三者から情報公開された脆弱性2件を含む)についても対応されている。

"2023 年 10 月のセキュリティ更新プログラム"
https://msrc.microsoft.com/update-guide/releaseNote/2023-Oct
"2023 年 10 月のセキュリティ更新プログラム (月例)"
https://msrc.microsoft.com/blog/2023/10/202310-security-update/
悪用が確認されている脆弱性
"Microsoft WordPad Information Disclosure Vulnerability"
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36563
"Skype for Business Elevation of Privilege Vulnerability"
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-41763
"MITRE: CVE-2023-44487 HTTP/2 Rapid Reset Attack"
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-44487
2023/10/10 Apple 社複数製品 Apple 社はiOS /iPad OSに存在する脆弱性に対するセキュリティアップデートを公開。悪用が確認されている脆弱性の修正も行われているため、早急にアップデートを行うことを強くお勧めする。

"About the security content of iOS 16.7.1 and iPadOS 16.7.1"
https://support.apple.com/en-us/HT213972
2023/10/10 Google Chrome Google 社はPC 版/Android 版/iOS 版のWeb ブラウザ Google Chrome のアップデートを公開。PC版は脆弱性20件のセキュリティ修正を行っている。

"Stable Channel Update for Desktop [Tuesday, October 10, 2023]"
https://chromereleases.googleblog.com/2023/10/stable-channel-update-for-desktop_10.html
"Chrome for Android Update [Tuesday, October 10, 2023]"
https://chromereleases.googleblog.com/2023/10/chrome-for-android-update_01575762549.html
"Chrome Stable for iOS Update [Tuesday, October 10, 2023]"
https://chromereleases.googleblog.com/2023/10/chrome-stable-for-ios-update_10.html
2023/10/17 Oracle 社複数製品 Oracle 社は同社複数製品(MySQL /Java /Oracle WebLogic Server、その他製品など)のOracle Critical Patch Update Advisory を公開。各製品の複数脆弱性が修正されている。

"Oracle Critical Patch Update Advisory - October 2023"
https://www.oracle.com/security-alerts/cpuoct2023.html
2023/10/24 Mozilla 社複数製品 Mozilla 社はFirefox /Firefox ESR /Firefox Focus for Android /Firefox for Android /Thunderbird のセキュリティアップデートを公開。悪用が行えた可能性があった脆弱性も修正している。

"Mozilla Foundation Security Advisory 2023-48 Security Vulnerabilities fixed in Firefox for iOS 119"
https://www.mozilla.org/en-US/security/advisories/mfsa2023-48/
"Mozilla Foundation Security Advisory 2023-47 Security Vulnerabilities fixed in Thunderbird 115.4.1"
https://www.mozilla.org/en-US/security/advisories/mfsa2023-47/
"Mozilla Foundation Security Advisory 2023-46 Security Vulnerabilities fixed in Firefox ESR 115.4"
https://www.mozilla.org/en-US/security/advisories/mfsa2023-46/
"Mozilla Foundation Security Advisory 2023-45 Security Vulnerabilities fixed in Firefox 119"
https://www.mozilla.org/en-US/security/advisories/mfsa2023-45/
2023/10/25 Apple 社複数製品 Apple 社は複数製品に存在する脆弱性に対するセキュリティアップデートを公開。悪用が確認されている脆弱性の修正もiOS /iPad OSで行われているため、早急にアップデートを行うことを強くお勧めする。

"About the security content of Safari 17.1"
https://support.apple.com/en-us/HT213986
"About the security content of watchOS 10.1"
https://support.apple.com/en-us/HT213988
"About the security content of tvOS 17.1"
https://support.apple.com/en-us/HT213987
"About the security content of macOS Monterey 12.7.1"
https://support.apple.com/en-us/HT213983
"About the security content of macOS Ventura 13.6.1"
https://support.apple.com/en-us/HT213985
"About the security content of macOS Sonoma 14.1"
https://support.apple.com/en-us/HT213984
"About the security content of iOS 15.8 and iPadOS 15.8"
https://support.apple.com/en-us/HT213990
"About the security content of iOS 16.7.2 and iPadOS 16.7.2"
https://support.apple.com/en-us/HT213981
"About the security content of iOS 17.1 and iPadOS 17.1"
https://support.apple.com/en-us/HT213982

注目したインシデント

2023年9月下旬のインシデント情報も含まれております。

公表日 発生組織の業種 インシデント内容 情報/コメント
2023/9/27 県立高校 誤送信後のOutlook操作ミスにより、誤送信が再発 メールアドレスを宛先にした誤送信が発生。事態を公表し謝罪したが、その後、Outlookにある機能を正確に理解せずに使用したために再度誤送信が発生したとのこと。
2023/9/28 報道 総合商社 退職者が社内データベースに不正アクセス 不正アクセスで使用したID/パスワードは嘘の口実を作り、元同僚の派遣社員に聞きだしたとのこと。現在、退職者は不正競争防止法違反の容疑で逮捕/起訴されている。
2023/9/28 報道 総合商社 退職者が社内データベースに不正アクセス 不正アクセスで使用したID/パスワードは嘘の口実を作り、元同僚の派遣社員に聞きだしたとのこと。現在、退職者は不正競争防止法違反の容疑で逮捕/起訴されている。
2023/10/4 高速道路各社 利用紹介サービスへのパスワードリスト攻撃 海外のIPアドレスから同サービスへ大量のアクセスがあり、その一部アクセスでIDとパスワードが一致したためログインされたとのこと。なお、現在は対策済みとコメントしている。
2023/10/6 報道 地方自治体(社会福祉協議会) 借用していたレンタルサーバへの不正アクセス 借用していたレンタルサーバにはホームページデータ及びメールデータが入っていたとのこと。また、情報漏えいの他に約15,000件のメールが不正送信されたと報道されている。
2023/10/13 地方自治体 フォーム設定ミスによる情報漏えい 景品送付先をフォームに入力するよう依頼したところ、ある期間に入力を行った氏名やメールアドレス等が互いに閲覧できる状態になっていたとのこと。
2023/10/13 卸売業 負荷分散機器の誤設定による情報漏えいの可能性 早期発見により約3時間後に復旧。但し、最大約150銘文の個人情報が漏えいした可能性があるとのこと。
2023/10/17 通信業 派遣社員による個人情報不正持ち出しによる情報漏えい 約900万件の情報を名簿業者に販売していたとのこと。なお、影響は各都道府県に及ぶ。
2023/10/18 電機メーカー 不正アクセスによる情報漏えい 教育アプリの開発用データベースが不正アクセスに遭い、実在するお客様情報が漏えいしたとのこと。
2023/10/19 国立博物館 不正アクセスによる情報漏えい 過去、別の省庁でも発生したメールシステムへの不正アクセスと酷似。メーカーからの通知の約一か月後に不正通信の痕跡を見つけたとのこと。
2023/10/23 電子機器 ランサムウェア感染による個人情報漏えいの可能性 社内サーバがランサムウェアに感染したとのこと。その他詳細については現在調査中とコメントしている。
2023/10/24 大学 標的型攻撃によるマルウェア感染/情報漏えい 偽の講演依頼を装ったやり取り型の標的型攻撃のメールを通じ、教員が使用してたPCがマルウエアに感染したとのこと。
TOP技術情報・コラム記事 2023年10月 セキュリティ情報(Cisco IOS XE の脆弱性 [CVE-2023-20198]など)