概要

  • 確認された公開記録:Cisco は、IOS XE ソフトウェアの Web UI 機能に対する活発な悪用を公表し、後に攻撃者が 2 つの未知の脆弱性を悪用したと判断しました。CVE-2023-20198 は初期アクセスと特権レベル 15 のアカウント作成に、続いて CVE-2023-20273 は root 権限への昇格とファイルシステムへのインプラントの書き込みに使用されました。(Cisco セキュリティアドバイザリ)
  • 政府機関のガイダンス:CISA は、これら 2 つの脆弱性が IOS XE Web UI に影響し、認証されていないリモートの攻撃者が影響を受けたシステムを制御する可能性があると述べました。CISA は組織に対し、インターネットに面したシステムで HTTP サーバー機能を無効にし、悪意のある活動を調査し、修正済みソフトウェアリリースが利用可能になり次第アップグレードするよう促しました。(CISA ガイダンス)
  • 管理プレーンの問題:公開記録は、露出した Web 管理、アカウント作成、コマンドインジェクション、およびインプラントの植え付けを含む管理面の障害を裏付けています。すべての IOS XE デバイスが影響を受けた、露出したすべてのデバイスが侵害された、または Cisco だけが各顧客のインターネット露出を管理していた、といった包括的な主張を裏付けるものではありません。
  • 評価:攻撃者は悪用を制御しました。Cisco は製品コード、アドバイザリの内容、修正の提供、堅牢化ガイダンス、検出サポートを管理しました。顧客、MSP、公的機関は、露出状態、インベントリ、設定、セグメンテーション、監視、復旧手順を管理していました。この出来事は、「Web UI がインターネット上で有効になっているか」という問いを、取締役会レベルの事業継続問題へと変えました。

ネットワークデバイスは制御ポイントであり、単なるサーバーではない

Cisco IOS XE の Web UI インシデントが重要なのは、ルーター、スイッチ、無線コントローラーが単なるワークロードではないからです。それは他のワークロードの制御ポイントです。侵害されたネットワークデバイスは、認証、トラフィックルーティング、セグメンテーション、拠点接続、無線アクセス、音声通信、監視、そしてインシデント対応そのものの経路上に存在する可能性があります。管理プレーンの侵害がそのようなデバイスに及んだ場合、復旧の問いは CVE がパッチされたかどうかだけではありません。そのデバイスが依然として周囲のネットワークを記述し、強制し、保護するものとして信頼できるかどうかです。

Cisco のアドバイザリは、この出来事を IOS XE ソフトウェアの Web UI 機能に位置づけ、攻撃チェーンが活発な悪用を伴うことを明らかにしました。攻撃者はまず CVE-2023-20198 を利用して初期アクセスを取得し、特権 15 コマンドを発行してローカルユーザーとパスワードの組み合わせを作成しました。次に攻撃者は、新たに作成したローカルユーザーを使用して、Web UI 機能の別のコンポーネントである CVE-2023-20273 を悪用し、権限を root に昇格させてファイルシステムにインプラントを書き込みました。Cisco は CVE-2023-20198 に CVSS 10.0、CVE-2023-20273 に 7.2 を割り当てました。(Cisco セキュリティアドバイザリ)

CISA の公開ガイダンスは、同じ事実を運用者の緊急対応に翻訳しました。CISA は、CVE-2023-20198 および CVE-2023-20273 の活発かつ広範な悪用が Cisco IOS XE ソフトウェアの Web UI に影響を与えていると述べ、認証されていないリモートの攻撃者がこれらの脆弱性を悪用して影響を受けたシステムを制御する可能性があるとし、IOS XE Web UI を実行している組織に対し、インターネットに面したシステムで HTTP サーバー機能を無効にするなどの Cisco の緩和策を実装し、悪意のある活動を調査するよう指示しました。(CISA ガイダンス)

管理プレーンの側面は、脆弱性のストーリーと説明責任のストーリーの違いです。通常の Web サーバーにおけるアプリケーションの欠陥は深刻になり得ますが、パケットを転送しポリシーを実施するデバイスの管理インターフェースの欠陥は、制御プレーンのリスクです。攻撃者は単に単一のアプリケーションからデータを盗むだけではありません。攻撃者は、ネットワークの信頼できる機構に対して、観察、変更、永続化、またはさらなるアクセスの準備を行うための立場を獲得する可能性があります。

これは、すべての影響を受けたデバイスがトラフィックの傍受や破壊的行為に使用されたことを意味するわけではありません。公開された一次記録は、そのような普遍的な主張を裏付けるものではありません。Cisco と CISA は、悪用パターンとしてアカウント作成、root 昇格、インプラントの書き込みを文書化しました。説明責任の問いは、そのアクセスが何を意味し得るか、そして運用者がそのデバイスを再び信頼できるものとして扱う前にどのような証拠が必要かということです。

多くの組織、特にネットワークチームが少人数の中小企業や公的機関にとって、管理インターフェースは歴史的に実用的な利便性でした。Web UI 管理はリモート設定を容易にします。MSP は顧客サポートにそれを使用する場合があります。拠点のチームは展開後も到達可能なままにしておくことがあります。利便性として始まった制御が、露出が継続的に棚卸しされ制約されなければ、インターネットに面した攻撃対象領域になる可能性があります。

Cisco は修正のストーリーがまだ動いている間に連鎖を開示した

公開された時系列は重要です。悪用、緩和、修正リリースが一つの整ったパッケージとして到着したわけではないからです。Cisco は当初、活発な悪用について警告し、インターネットに面したシステムで HTTP サーバー機能を無効にするなどの防御策を推奨しました。その後のアドバイザリ更新で、2 つ目の CVE、修正リリース情報、ソフトウェアチェッカーが追加されました。CISA のページは、複数の IOS XE トレイン向けの修正リリースが利用可能になったことで更新され、運用者を Cisco のアドバイザリと修正文書にリンクさせました。(Cisco アドバイザリCISA ガイダンス)

その連鎖は、実践的な説明責任のウィンドウを生み出しました。悪用がアクティブで、完全な修正マトリックスがまだ組み立てられている最中の場合、緩和の負荷は露出の削減と検出に急激にシフトします。運用者は、管理インターフェースが到達可能であれば、完璧なパッチ計画を待つことはできません。インターネットに面したシステムで HTTP/HTTPS サーバー機能を無効にするか制限し、新しく作成された、または説明のつかないユーザーを探し、指標をレビューし、証拠を保全し、デバイスが侵害された可能性があるかどうかを判断しなければなりません。

Cisco の Software Fix Availability 文書は、後に運用者がバグ ID CSCwh87343 を IOS XE 修正リリースにマッピングするためのより具体的な方法を提供しました。CISA の 11 月 1 日の更新では、特定の Catalyst 3650 および 3850 デバイス向けにリリーストレイン 17.9、17.6、17.3、16.12 の修正リリースがリストされました。この区別は重要です。初期の悪用ウィンドウの間、最も重要な制御は「今すぐ管理プレーンの露出を閉じる」になる可能性があります。修正リリースが存在した後は、制御は「アップグレード、検証、調査、復旧」になります。(Cisco 修正提供状況Cisco Software Checker)

National Vulnerability Database のエントリと CVE レコードは、脆弱性に関する追加の公開アンカーを提供します。NVD の CVE-2023-20198 ページは、Cisco アドバイザリを指し、活発な悪用のコンテキストを説明しています。CVE.org レコードは、公開脆弱性レコードの一部として脆弱性識別子を保存しています。(NVD CVE-2023-20198NVD CVE-2023-20273CVE レコード CVE-2023-20198CVE レコード CVE-2023-20273)

この連鎖は、なぜ CVSS だけではガバナンスに不十分なのかも示しています。CVE-2023-20198 の 10.0 スコアは技術的な深刻度を示しますが、ビジネスリスクは露出、役割、復旧能力によって異なります。弱いログ記録と既知のクリーンなイメージがないインターネットに露出した拠点ルーターは、管理 VPN 制御の背後にある内部ラボデバイスとは異なる運用上の問題を生み出します。深刻度はリーダーシップに注意を払うよう伝えます。インベントリと露出の証拠は、リーダーシップに最初に何をすべきかを伝えます。

インターネット露出は結果を増幅させる乗数だった

最も重要な運用者管理の変数は、Web UI 管理面がインターネットから到達可能かどうかでした。Cisco と CISA の緩和策の文言は、インターネットに面したシステムで HTTP サーバー機能を無効にすることに集中していました。Cisco の堅牢化ガイダンスはその制御と一致しています。Cisco の IOS および IOS XE 堅牢化資料では、HTTP サーバーはno ip http serverで無効にでき、セキュア HTTP サーバーはno ip http secure-serverで無効にできると述べられています。(Cisco IOS XE ソフトウェア堅牢化ガイドCisco IOS デバイス堅牢化ガイド)

これは新しいセキュリティ原則ではありません。強力で監視され、制限され、文書化された理由がない限り、管理インターフェースを広くインターネットに露出すべきではありません。CISA の Binding Operational Directive 23-02 は、インターネットに露出した管理インターフェースに関するもので、連邦政府機関に対し露出した管理インターフェースのリスクを軽減するよう指示しており、その推奨事項は連邦境界外でもより広範な関連性を持ちます。(CISA BOD 23-02)

問題は、実際のネットワークでは例外が蓄積することです。合併時に展開されたデバイスは古いアクセスルールを保持します。MSP が緊急のトラブルシューティングのために管理パスを開き、それを閉じません。拠点オフィスは HTTP が有効なテンプレートを継承します。パブリック IP の所有権が変わります。一時的な移行のためのファイアウォールルールが永続的になります。Web UI が露出しているのは、一人のエンジニアが無謀な決定をしたからとは限りません。資産インベントリ、変更管理、マネージドサービスのハンドオフがネットワークの履歴に追いつかなかったことが原因で露出している可能性があります。

その履歴は責任の所在にとって重要です。Cisco は製品の脆弱性が存在したかどうか、そしてそれがどれだけ迅速に診断され修正されたかを管理していました。顧客は脆弱な管理面が到達可能かどうかを管理していました。MSP は多くの顧客の設定を管理していました。公的機関は自身のインベントリと緊急無効化プロセスを管理していました。攻撃者は到達可能なシステムを悪用しました。説明責任は、単一の文にまとめられるのではなく、それらの管理ポイントに従います。

中小企業にとって、露出問題は特に困難です。小規模な組織はネットワークデバイスの設定をマネージドサービスプロバイダーに依存しており、IOS XE Web UI が有効かどうか、露出しているかどうか、内部的に制限されているかどうか、使用されていないかどうかを知らない場合があります。どのリリーストレインを実行しているか、修正ソフトウェアが利用可能かどうか、説明のつかないローカルユーザーが現れたかどうかを知らない可能性があります。CISA がインターネットに面したシステムで HTTP サーバー機能を無効にし、悪意のある活動を調査するよう指示した場合、中小企業はその指示を特定のデバイスチェックと証拠に翻訳するためにプロバイダーを必要とするかもしれません。

これが、このインシデントが Cisco と大企業だけの問題ではない理由です。これはマネージドネットワークサポートエコノミーの試練です。MSP が顧客のネットワーク管理を一元化できるなら、正確な露出インベントリ、迅速な緩和、復旧の証明も一元化しなければなりません。顧客は、パッチ適用前に root レベルのインプラントがあった可能性がある場合、「パッチを当てました」で十分とは受け入れられません。

インプラントはパッチ適用を復旧に変えた

公開事実にはインプラントの書き込みが含まれており、それが作業を変えます。脆弱性が不正なアカウント作成のみを許可する場合、アカウントを削除してパッチを当てれば一部のケースでは十分かもしれません。連鎖に root への昇格とファイルシステムに書き込まれたインプラントが含まれる場合、運用者は影響を受けたデバイスを、フォレンジックトリアージと復旧検証を必要とする侵害された可能性のあるシステムとして扱わなければなりません。

CISA のガイダンスは、組織に対して悪意のある活動の調査を指示し、Cisco Talos の検出手法を参照しています。Cisco Talos ブログは、ページへの自動アクセスが制限されている場合でも主要な公開検出情報源です。CISA は、組織が悪意のある活動の可能性の証拠として、デバイス上の説明のつかないユーザーや新しく作成されたユーザーを探すべきという実践的なアドバイスを引用しました。(Cisco Talos ブログCISA ガイダンス)

「新しく作成されたユーザー」という言葉は平凡に聞こえるかもしれません。ネットワークデバイス上では、そうではありません。悪用を通じて特権を持って作成されたローカルユーザーは、表面的なレビューを生き延び、後のアクセスのために再利用され、改ざんの証拠を提供する可能性があります。root レベルのコマンド実行は、設定の整合性、ファイルシステムの状態、ブートイメージ、永続性、ログ、そしてデバイス自身のテレメトリが信頼できるかどうかについて、より深い疑問を提起します。

パッチ適用は既知の脆弱性パスを閉じます。侵害されたデバイスにインプラント、不正なアカウント、変更された設定、隠れた永続性が残っていないことを自動的に証明するものではありません。したがって、復旧の証拠にはいくつかの層が必要です。Web UI が有効になっていたかどうかを特定し、インターネットに到達可能だったかどうかを判断し、不審なユーザーや指標を確認し、利用可能な場合はログを収集して保全し、不正なアカウントを削除し、修正ソフトウェアにアップグレードし、ランニングコンフィグとスタートアップコンフィグを比較し、イメージの整合性を検証し、侵害が疑われる場合は再構築または再イメージ化し、サービス復帰後も監視します。

NIST のインシデント対応ガイダンスは、復旧をチェックボックスではなくフェーズとして扱うため、ここで有用です。検出、封じ込め、根絶、復旧は関連していますが同一ではありません。証拠がまだ収集されている間にデバイスにパッチを当てることもできます。監視がまだ強化されている間にデバイスをサービスに戻すこともできます。脆弱性管理の観点では「修正済み」であっても、インシデント対応の観点ではまだ未解決のデバイスが存在し得ます。(NIST SP 800-61 Rev. 2)

この区別は、取締役会への報告を形作るべきです。「すべてのデバイスにパッチを当てました」という報告は技術的には真実かもしれませんが、依然として不完全です。リーダーシップは、脆弱な機能が有効になっていたデバイスが何台か、インターネットに露出していたのが何台か、侵害指標を示したのが何台か、再構築されたのが何台か、不正ユーザーがいたのが何台か、利用できないログがあったかどうか、マネージドサービスの顧客が証拠を受け取ったかどうかを知る必要があります。これらは復旧の指標であり、単なるパッチ指標ではありません。

検出の証拠は設計上不均一だった

ネットワークデバイスはしばしば真実の情報源として扱われます。それらはログを生成し、ACL を強制し、トラフィックをルーティングし、ステータスを報告します。管理プレーンの侵害では、その前提が弱まります。攻撃者が昇格した権限でユーザーを作成しコマンドを実行できる場合、デバイス自身の記録は不完全、改ざんされている、または存在しない可能性があります。運用者は外部の証拠を必要とするかもしれません。NetFlow、ファイアウォールログ、SIEM レコード、設定バックアップ、アウトオブバンド管理ログ、TACACS または RADIUS ログ、EDR のようなネットワークテレメトリ、既知の正常な設定との比較です。

これはマニフェストにおける「ネットワークリソース証拠」の問題です。侵害されたリソースは証拠を保持するだけでなく、証拠を形成します。ログが生成されるべき場所がルーターやスイッチであり、そのデバイスが侵害されている場合、証拠の質はインシデント前にログがエクスポートされ保護されていたかどうかに依存します。デバイス上のローカルログバッファは有用ですが脆弱です。一元化されたログ記録と AAA レコードがはるかに重要になります。

CISA の Known Exploited Vulnerabilities カタログも証拠インフラストラクチャです。CVE-2023-20198 と関連する悪用された脆弱性をリストすることは、機関と運用者に対し、問題が理論的ではないという優先順位付けのシグナルを与えます。KEV カタログと Binding Operational Directive 22-01 は、既知の悪用された脆弱性の修復のための連邦プロセスを作成し、多くの民間組織がこのカタログをトリアージシグナルとして使用しています。(CISA Known Exploited Vulnerabilities カタログCISA BOD 22-01)

それでも、KEV への掲載は、運用者にデバイスが侵害されたかどうかを伝えるものではありません。悪用が知られており、修復を優先すべきであると伝えます。運用者は依然としてローカルな証拠の問いに答えなければなりません。機能はオンだったか?到達可能だったか?プローブされたか?ユーザーは作成されたか?インプラントは存在したか?修正ソフトウェアはインストールされたか?デバイスは再構築されたか?下流のルート、ACL、認証情報は変更されたか?

認証情報の証拠は特に重要です。攻撃者がローカルアカウントを作成した場合、デバイスは AAA サーバー、SNMP コミュニティ、ネットワーク管理システム、自動化認証情報、バックアップリポジトリ、設定アーカイブにもアクセスできた可能性があります。Cisco と CISA の公開アドバイザリは、そのような下流のシステムすべてがアクセスされたとは述べていません。デバイスローカルの侵害が、より広範な管理認証情報や信頼関係を露出させた可能性があるかどうかを検証する合理的な理由を生み出します。

集中認証を使用している組織では、ローカルアカウントは異常であるべきです。ローカルの緊急アカウントと外部 AAA が混在している組織では、調査はより困難です。命名、文書化、定期的なレビューが不十分な場合、疑わしいアカウントが正当なブレークグラスアカウントの中に隠れている可能性があります。したがって、このインシデントは退屈なガバナンスに報います。一意のアカウント、AAA ログ記録、設定ベースライン、頻繁なバックアップ、最小特権、クリーンなインベントリです。

Cisco の役割はパッチを書くことよりも広範だった

Cisco の説明責任には製品の脆弱性が含まれますが、それだけではありません。ネットワークオペレーティングソフトウェアのベンダーは、セキュア設計、コードレビュー、デフォルトの姿勢、アドバイザリの明確さ、修正の提供、ソフトウェアの互換性、検出ガイダンス、TAC の能力、堅牢化文書、そして顧客が影響を受けるリリースを特定できる能力を管理します。このインシデントでは、Cisco は連鎖を開示し、2 つの CVE を特定し、推奨事項を提供し、修正リリース情報を公開し、堅牢化ガイダンスを維持しました。

修正マトリックスが重要なのは、IOS XE が単一のアプライアンス上の単一のバージョンではないからです。大規模ネットワークには、異なるリリーストレイン、ハードウェアファミリ、サポート契約、運用上の制約、メンテナンスウィンドウが含まれる可能性があります。「今すぐパッチを当てろ」という指示は方向的には正しいですが、運用上は不完全です。顧客は、どのイメージが修正されているか、どの SMU が存在するか、どのトレインがまだサポートされているか、どのデバイスにアップグレードが必要か、アップグレードがダウンタイムを招くリスクがあるかどうかを知る必要があります。Cisco の修正提供状況文書とソフトウェアチェッカーはその翻訳に役立ちます。(Cisco 修正提供状況Cisco Software Checker)

アドバイザリの明確さは、修正の提供可能性と同じくらい重要です。アクティブな悪用の間、アドバイザリは運用者に、何を無効にすべきか、何を探すべきか、何が影響を受けるか、何が影響を受けないか、回避策が存在するかどうか、修正ソフトウェアがいつ利用可能になるか、指標をどのように解釈するかを伝えなければなりません。Cisco のアドバイザリは CVE を割り当てる以上のことを行いました。初期アクセスからローカルユーザー作成、root 昇格、インプラントの書き込みに至るまで、観測された連鎖を説明しました。これは、対応を定期的なパッチ適用から侵害評価に変える種類の情報です。

ベンダーのデフォルトは、公平ですが慎重な問いです。Web UI が存在するかどうかを尋ねるだけでは十分ではありません。管理機能は往々にして正当な理由で存在します。より良い問いは、製品と文書が安全でない露出を困難、可視化、騒がしくするかどうかです。HTTP/HTTPS 管理サーバーが有効な場合、運用者はそれが信頼できないネットワークから到達可能かどうかを簡単に確認できますか?テンプレートとウィザードは最小限の露出に偏っていますか?インターネットに面した管理が危険であることを明確にする警告がありますか?テレメトリはインターネット露出を示しますか?ソフトウェアは運用者が未使用の管理サービスを無効にするのを支援しますか?

Cisco の堅牢化文書は管理プレーンの露出を減らすよう助言しています。それは有用です。しかし、堅牢化文書は展開のプレッシャー、継承された設定、「前回はうまくいった」という運用の習慣と競合します。セキュア・バイ・デザインへの期待は、ベンダーに対して安全なパスを露出したパスよりも簡単にするようますます求めています。CISA のセキュア・バイ・デザインガイダンスは、テクノロジーメーカーが単に堅牢化チェックリストを公開するのではなく、顧客のセキュリティ成果に対してより多くの所有権を持つべきだと主張しています。(CISA Secure by Design)

この原則をここに当てはめることは、Cisco がすべての露出したデバイスに対して単独で責任を負うことを意味するわけではありません。ネットワーク製品が、管理露出を表面化し、インターネット到達性を抑制し、展開後の堅牢化への依存を減らし、運用者が現在の状態を証明できるようにするためにもっとできることがあるかどうかを問いかけます。ガイド内の警告は、製品内の制御と同じではありません。

顧客と MSP の説明責任は Cisco にアウトソースできない

顧客は、ブラスト半径を決定した多くの変数を管理していました。彼らは、Web UI が有効かどうか、HTTP/HTTPS 管理がインターネットから到達可能かどうか、管理アクセスが VPN または専用ネットワークに制限されているかどうか、設定がバックアップされているかどうか、ログが一元的に収集されているかどうか、ローカルユーザーアカウントがレビューされているかどうか、脆弱なデバイスが迅速に発見可能かどうかを決定または継承しました。

マネージドサービスプロバイダーは、多くの顧客のためにこれらの変数を管理していました。これにより MSP の役割が中心的なものになります。MSP が顧客のネットワークデバイスを管理する場合、正確なデバイスインベントリ、リリースインベントリ、管理露出インベントリ、AAA モデル、バックアップ状態、ログ記録状態、緊急緩和プレイブックを維持する必要があります。Cisco のアドバイザリが出たとき、プロバイダーはどの顧客がその機能を露出している可能性があるかを尋ねることから始めるべきではありません。すでに知っているべきです。

中小企業の継続性への影響は、その依存関係から生じます。小規模な製造業者、クリニック、学校、小売業者、または専門事務所は、ネットワークデバイスの侵害をダウンタイム、不確実性、または緊急の契約業者費用として経験する可能性があります。社内に IOS XE のリリーストレインや侵害指標を評価する専門知識がない場合があります。もし MSP が証拠を提供できなければ、顧客は信頼と費用のかかるセカンドオピニオンの間で板挟みになります。

この不確実性は、悪意のあるトラフィック操作が実際に行われる前であっても、事業中断になり得ます。顧客は、緊急メンテナンスのスケジュール調整、デバイスの交換、認証情報のローテーション、ログのレビュー、リーダーシップへの通知、リモート管理の一時停止、または監査人への保証が必要になる場合があります。中小企業にとって、これらのコストはスタッフの能力に対して相対的に大きくなり得ます。脆弱な製品がエンタープライズグレードであるという事実は、すべての影響を受けた運用者がエンタープライズグレードの対応能力を持っていることを意味しません。

契約はその現実を反映すべきです。マネージドネットワーク契約は、誰が露出インベントリを維持するか、誰がベンダーアドバイザリを受信するか、誰がインターネットに面した管理を無効にできるか、誰が緊急変更を承認するか、誰が証拠を保全するか、誰が顧客に指標を報告するか、誰が緊急再構築の費用を支払うか、クロージャ後に顧客がどのような証拠を受け取るかを明記すべきです。これらの条件がなければ、IOS XE のようなインシデントは、ベンダー、MSP、顧客、保険会社、監査人の間の争奪戦になります。

公的機関にも並行した義務があります。彼らは多くの場合、レガシーデバイス、調達上の制約、メンテナンスウィンドウを伴う分散ネットワークを運用しています。また、ルーティング、無線、緊急通信、学校ネットワーク、または自治体サービスが劣化した場合、公共サービスの結果に直面する可能性もあります。連邦 BOD がすべての地方または外国の公的機関を自動的に統治するわけではありませんが、原則は移転可能です。露出した管理インターフェースを把握し、既知の悪用された脆弱性を優先し、修復を文書化することです。(CISA BOD 23-02CISA KEV カタログ)

国際アドバイザリは共有された依存を示した

IOS XE インシデントは、Cisco デバイスがグローバルであるため、グローバルでした。米国外の政府サイバー機関が警告を発行または増幅しました。オーストラリアのサイバーセキュリティセンターは、この脆弱性の悪用により、リモートの認証されていないユーザーが脆弱なシステム上に高度な特権アカウントを作成し、それを制御する可能性があると警告しました。カナダのサイバーセンターは、Cisco のアドバイザリと修正の提供状況を追跡する更新を公開しました。(オーストラリアサイバーセキュリティセンターアラートカナダサイバーセキュリティセンターアドバイザリ)

これらのアドバイザリが重要なのは、ネットワークデバイスの脆弱性は調達システムよりも速く国境を越えるからです。多国籍企業、地域 ISP、学校ネットワーク、市の機関はすべて、異なる方法で、異なるリリーストレインとサポート契約で IOS XE を実行している可能性があります。同じアドバイザリが、各環境で異なる運用上の問題になります。

国際的な増幅は、インシデントが 1 ベンダーの私的な顧客通知として片付けられる可能性を減らします。複数の国家機関が運用者に行動を起こすよう指示する場合、その問題は公共インフラの衛生の一部となります。これは説明責任の結果をもたらします。Cisco、CISA、および他のサイバー機関がガイダンスを公開した後、取締役会や公的役員がリスクは不明瞭だったと主張することはもっともらしくありません。

同時に、グローバルアドバイザリはローカルな実行を解決しません。機関のページは、顧客のルーターにログインし、Web UI を無効にし、ローカルユーザーをレビューし、修正ソフトウェアをインストールし、侵害されたデバイスを再構築することはできません。シグナルを上げることしかできません。ラストワンマイルは依然として資産所有者とそのプロバイダーに属しています。

したがって、この出来事はおなじみの非対称性を示しています。警告はグローバルですが、復旧はローカルです。Cisco は修正を公開できます。CISA はガイダンスを公開できます。国家機関は増幅できます。研究者はインターネットをスキャンできます。しかし、学区、中小企業、または公的機関は、どのデバイスを所有しているか、誰がそれらを管理しているか、露出をどのように閉じるか、どの停止ウィンドウが許容可能か、クリーンアップのどの証拠が自身のリスク判断を満たすかを依然として知らなければなりません。

運用者が保持すべきだったクリーンな復旧記録

IOS XE Web UI イベントの防御可能な復旧記録は、「パッチを当てた」よりも具体的であるべきです。それはインベントリから始めるべきです。すべての IOS XE デバイス、モデル、リリーストレイン、役割、管理アドレス、管理アクセスパス、Web UI の状態、インターネット露出状態、および責任者です。次に緩和を文書化すべきです。HTTP および HTTPS サーバーが適切に無効化または制限され、アクセス制御が適用され、修正ソフトウェアが特定され、メンテナンスウィンドウがスケジュールされ、緊急例外が承認されたことです。

次に侵害評価です。運用者は、各デバイスが説明のつかないユーザーや新しく作成されたユーザーを示したかどうか、既知の指標が存在したかどうか、ログが不審なアクセスを示したかどうか、AAA レコードが予想される管理と一致しているかどうか、設定変更が不正に見えるかどうか、デバイスを再構築しなければならなかったかどうかを記録すべきです。この記録は、「脆弱ではない」「脆弱だが露出していない」「露出していたが指標は見つからなかった」「露出していて指標があった」「侵害が確認された」を区別すべきです。

次に復旧です。修正ソフトウェアのバージョン、イメージのソース、チェックサムまたは整合性の検証、設定バックアップの比較、不正ユーザーの削除、認証情報のローテーション、AAA レビュー、SNMP および自動化認証情報のレビュー、ログ検証、変更後の監視が記録されるべきです。高価値デバイスの場合、侵害が疑われる場合、信頼できるメディアからの再構築が、その場でのクリーンアップよりも信頼性が高い可能性があります。

最後に、顧客とリーダーシップへのコミュニケーションです。エグゼクティブは、技術的な状態をビジネスリスクに結びつける要約を必要とします。MSP の顧客は、単なる一般的なアドバイザリリンクではなく、デバイス固有の証拠を必要とします。公的機関は、監査人、保険会社、監督機関に適した記録を必要とします。良い復旧と弱い復旧の違いは、往々にして緊急事態が過ぎ去った後に保持される証拠です。

NIST のパッチ管理ガイダンスは、脆弱性修復が単一のアクションではなく管理されたライフサイクルであるという点を強化しています。組織は、インベントリ、優先順位付け、テスト、展開、検証を必要とします。アクティブに悪用されるネットワークデバイスのインシデントでは、そのライフサイクルは圧縮されますが消滅しません。(NIST SP 800-40 Rev. 4)

このインシデントは、定期的な露出テストの必要性も主張しています。四半期ごとまたは継続的なインターネット露出管理サービスのチェックは、驚きを減少させたでしょう。インターネットに面したデバイス上のip http serverip http secure-serverにフラグを立てる構成管理システムは、応答時間を短縮したでしょう。一元化された AAA は、予期しないローカルユーザーを見つけやすくしたでしょう。これらは特殊な制御ではありません。欠けているときにのみ大きくなる静かな制御です。

構成の来歴は、その記録の中で独自の行に値します。ネットワークデバイスは脆弱性スキャンに合格しても、その起源が十分に理解されていない構成で動作している可能性があります。運用者は、実行中の構成が標準テンプレート、緊急変更、MSP の例外、継承された買収ネットワーク、またはローカル管理者の一回限りの修正のどれに由来するかを知るべきです。IOS XE のケースでは、来歴がなぜ Web UI が有効で到達可能だったかを説明する可能性があります。そのコンテキストがなければ、修復は当面の露出を閉じる一方で、次のテンプレートプッシュや交換用デバイスを通じて同じパターンが戻ってくる脆弱性を組織に残す可能性があります。

プロバイダーの証拠も同様に具体的であるべきです。MSP は、影響を受けたデバイスと影響を受けていないデバイスの日付付きリスト、緩和前の露出状態、管理面を閉じるために使用されたコマンドや設定変更、修正ソフトウェアのターゲット、侵害評価の結果、残存する例外を顧客に提供できるべきです。顧客はすべてのパケットキャプチャや機密認証情報の詳細を必要としません。事業継続、サイバー保険の通知、監査人のコミュニケーション、または顧客通知が必要かどうかを判断するのに十分な証拠を必要とします。「Cisco デバイスがレビューされました」という一般的な声明は、復旧記録と同じではありません。

その記録は、インシデント前の露出状態を誰が承認したかも特定すべきです。多くのネットワークでは、管理インターフェースが到達可能になるのは、古い例外、一時的なトラブルシューティングの変更、前任者から継承されたテンプレート、または広範なアクセスを静かに正常化するアウトソースサポートモデルが原因です。ゼロデイ後に露出を閉じることは必要ですが、説明責任はその露出がなぜ存在したのかを学ぶことを要求します。理由が捕捉されなければ、交換用デバイスが設置されたとき、バックアップ構成が復元されたとき、またはサポートプロバイダーが次の展開を標準化したときに、同じパターンが再び現れる可能性があります。

証拠のギャップそれ自体が教訓的である

公開記録は、完全な被害者数、完全な攻撃者の帰属、すべてのインプラントの詳細、すべての影響を受けたハードウェアプラットフォーム、すべての顧客の露出状態、または普遍的な復旧処方箋を提供していません。その情報の一部は公的には知り得ないかもしれません。一部は影響を受けた顧客や法執行機関と非公開で共有された可能性があります。その欠落は推測で埋めるべきではありません。

最も責任ある公的な結論はより狭いものです。Cisco と CISA は、IOS XE Web UI の脆弱性に対する活発な悪用を文書化し、特権 15 アカウントの作成、root 昇格、インプラントの書き込みを伴いました。CISA は、インターネットに面した HTTP サーバーの露出を無効にし、調査し、アップグレードするよう促しました。修正リリースは、リリーストレイン全体で利用可能になりました。説明責任の結果は、ローカルな露出、インベントリ、復旧に依存します。

その証拠の境界は、二つの悪いナラティブから保護します。第一の悪いナラティブは、出来事全体が単に Cisco のせいだというものです。それは顧客と MSP のインターネット露出管理の管理を無視しています。第二の悪いナラティブは、出来事全体が単に管理を露出した顧客のせいだというものです。それは Cisco の脆弱性、アドバイザリの質、修正の提供、製品設計のインセンティブに対する責任を無視しています。

真実は満足感が少なく、より有用です。製品の欠陥と展開の露出が組み合わさりました。攻撃者はその両方を悪用しました。良い復旧には、ベンダーの修正と運用者の規律の両方が必要でした。どちらの側の制御も完全ではありませんでしたが、両方とも自らの役割に対して説明責任を負うのに十分な制御を持っていました。

この出来事は、管理プレーンの侵害後に否定的な信頼を証明することがいかに難しいかも示しています。デバイスにはパッチが当てられているかもしれませんが、運用者はアカウント作成がなかったことを証明できますか?ユーザーは削除されているかもしれませんが、運用者は設定が変更されなかったことを証明できますか?インプラントは再起動後に消えるかもしれませんが、運用者は後の永続性がなかったことを証明できますか?公開向けのステータスメッセージがこれらの問いに答えることはめったにありません。インシデント前に構築された証拠アーキテクチャは答えます。

説明責任は管理プレーンに従う

管理プレーンは権限が集中する場所です。それは管理者が認証し、設定が変更され、ユーザーが作成され、サービスが有効化され、ログが表示され、復旧が始まる場所です。そのプレーンを公共のインターネットから到達可能にすることは、認証、コード、設定、監視、パッチ適用のすべてが、現在および将来のすべてのエクスプロイトに対して十分に堅牢であり続けるという永続的な賭けを生み出します。

IOS XE Web UI インシデントは、その賭けが失敗し得ることを示しました。Cisco の製品には、Web UI チェーンに 2 つの未知の問題がありました。顧客とプロバイダーは管理インターフェースを露出していました。攻撃者は十分に迅速に行動したため、緩和と修正の提供が緊急事態になりました。政府機関はガイダンスを増幅しなければなりませんでした。運用者はアカウント作成とインプラントを調査しなければなりませんでした。中小企業は回答をプロバイダーに依存しなければなりませんでした。

教訓は、すべてのリモート管理を排除することではありません。現代のネットワークにはリモート管理が必要です。教訓は、管理アクセスを、より小さな攻撃対象領域、より強力なアイデンティティ、ネットワーク制限、ログ記録、変更管理、継続的な露出レビューを備えた特権インフラストラクチャとして扱うことです。リモート管理は、広範な公共インターネット露出を通じてではなく、意図的な管理パスを通じて到達可能であるべきです。

Cisco にとって、継続的な教訓は、セキュア・バイ・デザインの管理プレーン姿勢です。安全でない露出をより困難にし、危険な設定を見えるようにし、修正を追跡可能にし、検出ガイダンスを実行可能にし、リリースマッピングを混乱させにくくすることです。顧客と MSP にとって、教訓は資産と露出の真実です。何が実行されているか、何が到達可能か、誰がそれを所有しているか、それを無効にする方法、それを再構築する方法、クリーンアップを証明する証拠を知ることです。

公的機関と規制当局にとって、教訓は、ネットワークデバイスの管理インターフェースが、主要なアプリケーション CVE と同じ可視性に値するということです。侵害されたルーターやスイッチは、他のインシデントに関する証拠環境を歪める可能性があります。それは対応アーキテクチャ内のブラインドスポットになり得ます。これにより、管理プレーンの露出は、単なる IT 衛生問題ではなく、継続性リスクになります。

Cisco IOS XE の 2023 年の Web UI 悪用の記録は、単純な結末を拒否するため価値があります。パッチは重要でした。堅牢化は重要でした。アドバイザリは重要でした。インベントリは重要でした。MSP の説明責任は重要でした。インプラントは重要でした。露出したインターフェースが最も重要でした。なぜなら、防御側が完全な情報を持つ前にどのデバイスが到達可能かを決定したからです。

したがって、説明責任の結論は実践的です。ネットワークデバイスは、所有者が管理 Web UI が世界に開かれていたことを発見する前に侵害されるべきではありません。ベンダーは、ゼロデイが既に着弾した後に顧客がすべての安全でない露出を見つけることに依存すべきではありません。プロバイダーは、証拠なしに「我々が処理した」と顧客に伝えるべきではありません。管理プレーンセキュリティにおいて、信頼はブランドやパッチレベルに関する感覚ではありません。それは記録です。露出を閉じ、侵害を評価し、ソフトウェアを修正し、必要に応じてデバイスを再構築し、ネットワーク権限を証明付きで復旧したことです。

タイポグラフィ

タイポグラフィとは、書き言葉を読みやすく、判読しやすく、視覚的に魅力的にするために文字を配置する技術です。書体、ポイントサイズ、行長、行間、文字間隔の選択が含まれます。

  • タイポグラフィは、15 世紀にヨハネス・グーテンベルクによる活版印刷の発明に起源を持ちます。
  • 主要な要素には、フォントの選択、カーニング、トラッキング、行送りがあります。
  • 優れたタイポグラフィは読みやすさを向上させ、デザインにおけるムードやトーンを伝えます。