Cisco Systemsが提供するCisco IOSソフトウェアが稼働するCisco 871 Integrated Services Routerにおいて、HTTP管理コンポーネントにおける複数のクロスサイトリクエストフォージェリ(CSRF)の脆弱性(CVE-2008-4128)が確認されました。この脆弱性は非常に古く、該当製品はすでにサポート終了(EoL)していますが、米CISAが7月13日に「既知の悪用されている脆弱性(KEV)カタログ」に追加したことから、現在もロシアの国家支援型攻撃グループによって積極的に悪用されていることが判明しており、即座の対策が求められます。
今すぐ行う対策
- ✓**影響を受ける機器の即時交換:** Cisco 871 Integrated Services Routerは既にサポート終了(EoL)しているため、根本的な解決策として、直ちにサポート対象の最新機器への交換が必須です。
- ✓**継続利用中の場合のリスク評価とネットワーク隔離:** やむを得ず継続利用する場合は、当該機器がインターネットに直接公開されていないことを確認し、ネットワーク上での厳格な隔離を実施してください。
- ✓**侵害の兆候を確認する:** 過去のログを確認し、不正なアクセスや設定変更の兆候がないか、フォレンジック調査の実施を検討してください。CISAは関連する「Forensics Triage Requirements」に従うよう推奨しています。
脆弱性の概要と影響範囲
本脆弱性(CVE-2008-4128)は、Cisco IOS 12.4が稼働するCisco 871 Integrated Services RouterのHTTP管理インターフェースに存在する複数のCSRFの欠陥に起因します。認証された管理者を騙して特定のURIへ誘導することで、リモートの攻撃者が特権コマンドや設定コマンドを含む任意のコマンドを実行できる可能性があります。これにより、機器が完全に侵害される恐れがあります。
NVDによるCVSSv2.0ベーススコアは9.3(HIGH)と評価されており、深刻度の高い脆弱性です。 また、CISAはCVSSv3.1スコアを4.3と評価していますが、既知の悪用が確認されているため、その緊急性は非常に高いとされています。
具体的な影響・攻撃シナリオ
攻撃者は、標的となるCisco 871 Integrated Services Routerの管理者権限を持つユーザーを、細工されたウェブサイトなどに誘導します。ユーザーがそのサイトを閲覧すると、ブラウザがルーターの管理インターフェースに対して悪意のあるリクエストを自動的に送信し、攻撃者の意図するコマンド(例えば、権限昇格や設定変更)が実行されます。
米CISAによると、この脆弱性はロシア連邦保安庁(FSB)に所属するサイバーアクターが10年以上にわたり悪用しており、通信、防衛、エネルギー、金融サービス、政府、ヘルスケアなど、多岐にわたる分野の組織が標的となっています。攻撃者は、脆弱なネットワーク機器や不適切に設定された機器を悪用して、設定情報を窃取したり、デバイスを完全に制御したりする活動を展開しています。
Cisco IOS Software Release 12.4 Mainlineは2016年1月31日にサポートが終了しており、Cisco 871 Integrated Services Routerも2015年12月にはサポートが終了しています。 サポート終了製品であるため、公式なセキュリティパッチは提供されていません。
📦