はじめに
最近のルーターは、従来のものとは異なり、ルーティングソフトウェアだけでなく、場合によっては複数のコンテナを実行する多くのイーサネットポートを備えた高性能サーバーのように機能しています。このような複雑なシステムは、脅威者にとって、すでに熟している攻撃対象領域を拡大することになります。もし、攻撃者がこれらのデバイスのいずれかにアクセスし、完全に制御することができれば、ネットワークへの足がかりとなり、強力な「サーバー」を支配下に置くことができるようになるのです。
エッジデバイスもまた、物理的なサプライチェーンに関する話題の最前線にいます。Ciscoの機器のような複雑なネットワーク機器は、シスコから直接購入するのではなく、サードパーティの販売業者から購入することがよくあります。このようなサードパーティ製デバイスは、エンドユーザーがデバイスを受け取る前に、悪意のある改変を許してしまう可能性があります。これらの潜在的な影響は大きいため、サードパーティの研究者やセキュリティベンダーによるさらなる精査が必要です。Trellix Advanced Research Center は、Cisco製アプライアンスに 2 つの脆弱性を発見しました。1 つは、攻撃者が基盤となるシステムへの永続的なルートアクセスを取得できる可能性がある脆弱性です。これらの脆弱性は、Trellixの責任ある開示プロセスに従って開示されました。
私たちのチームは、企業のソフトウェアやハードウェアに存在する重要なゼロデイ脆弱性を発見し、攻撃対象領域を拡大・縮小することに重点を置いています。そのために、私たちは常に新しいデバイスやソフトウェアを調査対象として探しています。このブログでは、当社の脆弱性調査チームが Cisco IS 4431R ルーターで発見し、他の広範な Cisco デバイスに影響を与えた 2 つの脆弱性、コマンドインジェクション (CVE-2023-20076) およびパストラバーサル (Cisco バグ ID CSCwc67015) について概要を説明します。
バグ
- CVE-2023-20076: さまざまな Cisco デバイスでの認証済みリモート コマンド インジェクション
- CSCwc67015: さまざまな Cisco デバイスでのコード実行につながる任意のファイル書き込み
CVE-2023-20076
この脆弱性は、アプリケーションホスティングコンポーネントに発見され、管理者がアプリケーションコンテナや仮想マシンをCiscoデバイス上に直接展開することを可能にします。仮想化されたアプリケーションをオーケストレーションするために使用されるコマンドは、基本システム上で実行され、エンドユーザーにはある程度透過的なものとなっています。攻撃者や研究者にとって、コマンドが基本システムに渡される方法は、探索のための格好のターゲットです。リバースエンジニアリングと詳細な静的解析により、私たちのチームは、インターフェース設定内の「DHCPクライアントID」オプションが正しくサニタイズされていないことを特定し、選択した任意のOSコマンドを挿入できるようにしました。
Video 1 – エクスプロイトのデモ
Ciscoは、再起動やシステムリセットによって、攻撃が問題として残ることを防ごうとする方法で、セキュリティを重んじます。しかし、このケースでは、コマンドインジェクションは、システムに脆弱性が残らないようにするためにCiscoが実施している緩和策をバイパスします。CVE-2023-20076は、無制限のアクセスを獲得し、悪意のあるコードがシステム内に潜み、リブートやファームウェアのアップグレード後も持続することを可能にします。このセキュリティ対策を回避するということは、攻撃者がこの脆弱性を悪用した場合、デバイスが出荷時設定にリセットされるか手動で削除されるまで、悪意のあるパッケージが実行され続けることを意味します。この時点で、数え切れないほどの被害が発生している可能性があります。
CSCwc67015
上記の脆弱性と同様に、この問題はアプリケーションのホスティング環境において発見されました。CiscoのIOx Local Managerでは、仮想化されたコンテナ内にアプリケーションをアップロードして実行することができます。アプリケーションホスティング環境のリバースエンジニアリングを通じて、悪意を持ってパックされたアプリケーションが、アップロードされたアプリケーションを解凍する際に、重要なセキュリティチェックをバイパスできることを発見しました。
このチェックは、Pythonのtarfileモジュールに存在する脆弱性に対してシステムを保護しようとするものであることを、当時は知りませんでした。私たちのチームは、このチェックがどのような種類の脆弱性を防ぐためのものであるかを調べました。その結果、CVE-2007-4559が一度も修正されていないことがわかり、私たちのチームはこの脆弱性を修正するための取り組みを行うことになりました。試行錯誤を重ね、さらにリバースエンジニアリングを進めた結果、Webアプリケーションからコードに到達できることを証明できましたが、私たちのデバイスにはlzmaモジュールがないため、悪用される可能性はありませんでした。他のデバイスが影響を受ける可能性があるため、Ciscoにこの脆弱性を報告しました。最終的に、この脆弱性は、今後展開されるコードセットの中に発見されました。この研究とCisco社とのコラボレーションにより、影響力のある脆弱性が公開されるのを防ぐことができました。
認証された管理アクセス
今回取り上げた脆弱性は、攻撃者が認証され、システムの管理者権限を持っていることが必要であることに留意することが重要です。このことは、潜在的な重大性を制限していますが、攻撃者がシステムに対する認証情報を取得する方法は数多く存在します。認証を必要とするバグは軽視されがちですが、私たちは、国家によって利用される権限昇格のバグを定期的に目にしています。攻撃者は、以下のような方法で認証された管理者権限を取得することが可能です。
- デフォルトのログイン認証情報:多くの Cisco製アプライアンスは、デフォルトのユーザー名とパスワード「cisco:cisco」または「admin:admin」で出荷されますが、多くの人はこれを変更しないままです。
- フィッシング: 攻撃者が資格情報を収集するために最もよく使用される方法は、従業員をだまして偽のルーター UI にログインさせるか、ルーター自体からの電子メールを偽装して、「ファームウェアの更新を要求する」ログインページへのリンクを記載したメールを送信することです。
- ソーシャル エンジニアリング: 攻撃者は、ソーシャルエンジニアリングによって認証情報を渡すように仕向けることで、人間の弱点を突くことにも成功しています。
デフォルトのログイン認証情報を変更し、従業員にソーシャル エンジニアリングやフィッシングに関するトレーニングを提供したりするなど、業界のベストプラクティスで定義された対策を講じることで、組織がこうした攻撃を受ける可能性を大幅に軽減することができます。
影響を受けるデバイス
これらの脆弱性は、Cisco ISR 4431 ルータ以外にも影響を及ぼします。また、以下に示すデバイスも影響を受けます。
- 800 シリーズ産業用 ISR: 発電所、工場、その他の過酷な環境などの産業環境向けに設計されたルーター
- CGR1000 コンピューティング モジュール:主に VPN、ファイアウォール、および WAN の最適化を実行することを目的としたエンタープライズ クラウド サービス用のコンピューティングモジュール
- IC3000 産業用コンピューティング ゲートウェイ: コンピューティングゲートウェイ製品ラインは、産業環境向けにリアルタイムのデータ処理、分析、および自動化を提供
IOx で構成された IOS XE ベースのデバイス: サードパーティ製アプリケーションをルーター本体で直接コンテナ化された環境内で実行するためのルーター
- IR510 WPAN 産業用ルーター:ワイヤレスが必要なスマート ファクトリーおよびスマート グリッド向けのワイヤレス パーソナル エリア ネットワーク (WPAN) ルーター
- Cisco Catalyst アクセス ポイント (COS-AP):主に多数のデバイスが接続されたエンタープライズ環境に焦点を当てた別のワイヤレス アクセス ポイント
サプライチェーンへの影響
Trellix Advanced Research Centerにおける調査プロセスでは、お客様に影響を与える最も重要な脆弱性を調査しており、サプライチェーンに対する脅威は、しばしば大きな影響を与えます。そのため、私たちの脆弱性調査チームは、企業内部だけでなく、より広範なサプライチェーンにリーチするデバイスやソフトウェアに特別な注意を払っています。
エンタープライズ ネットワーキングは複雑であるため、多くの企業は構成とネットワーク設計をサードパーティの設置業者に外注しています。悪意のある人物が CVE-2023-20076 を使用して、このサプライ チェーンのどこかにある該当する Cisco デバイスの 1 つを悪意を持って改ざんする可能性があります。CVE-2023-20076 が提供するアクセス レベルでは、バックドアをインストールして隠すことができ、改ざんがエンド ユーザーに対して完全に透過的になる可能性があります。これらのエッジ デバイスの消費者は、サプライ チェーンを綿密に監視し、サードパーティの再販業者、パートナー、またはマネージド サービス プロバイダーが透過的なセキュリティ プロトコルを使用していることを確認する必要があります。
パッチが適用されていない脆弱性は、多くの場合、新しい製品に現れ続けます。時間の経過とともに、多数の異なるデバイスがすべて同じ種類の攻撃に対して脆弱になる可能性があるため、より重大なリスクが生じます。このようなサプライチェーンの問題は、Log4jのように、あらゆる業界の多くの企業が、自分たちが攻撃に対して脆弱であることを知らず、脅威となる行為者にさらされてしまうという事態を招きかねません。また、古いデータセンターやネットワーク機器は、より新しく高速な機器が登場すると、しばしば「再利用」されたり、転売されたりすることもあるということも知っておく必要があります。データセンターを汚染する感染したルーターは、最終的にビジネスの別の場所に移動され、脅威者はより多くのネットワークや全く新しいネットワークに自由にアクセスすることができるようになるかもしれません。このようなリスクを軽減するために、企業は従業員がテクノロジー・スタックの全レイヤーに関するサイバーセキュリティ・トレーニングを受け、過去の攻撃対象が再び出現するのを防ぎ、新しい攻撃対象を迅速に修正できるようにすることができます。
結論
Ciscoは、この調査および開示プロセスにおけるモデルパートナーでした。グローバルな攻撃対象領域を最小限に抑え、サイバー脅威からの回復力を維持するには、ベンダーと研究者間のコラボレーションが重要です。これらの脆弱性に対処する際の透明性とスピードに感謝したいと思います。
影響を受けるデバイスを持つ組織は、最新のファームウェアにすぐに更新する必要があります。環境に異常なコンテナーがインストールまたは実行されていないかどうかを確認し、コンテナーを使用していない場合は、IOx (コンテナー フレームワーク) を無効にすることも重要です。これらの脆弱性に関する Cisco のセキュリティ アドバイザリとパッチ情報は、こちらで確認できます。
※本ページの内容は2023年2月1日(US時間)更新の以下のTrellix Storiesの内容です。
原文:When Pwning Cisco, Persistence is Key – When Pwning Supply Chain, Cisco is Key
著者:Sam Quinn and Kasimir Schulz