シスコIOS XEで2つ目のゼロデイ脆弱性を発見

セキュリティメディアの「Security Affairs」によると、シスコの IOS XE で2つ目のゼロデイ脆弱性が発見されたそうです。発見された脆弱性は「CVE-2023-20273」で、先に発見された最初のゼロデイ脆弱性の「CVE-2023-20198」のように活発に悪用されているそうです。しかし、最初のゼロデイ脆弱性を通じて侵入に成功した後、2番目のゼロデイをエクスプロイトすることが可能であると現在までは分析されています。2番目のゼロデイ脆弱性は7.2点のCVEスコアで評価され、権限昇格の脆弱性として分類されました。

最初のゼロデイ脆弱性である「CVE-2023-20198」は、CVSS基準10点満点の10点を受けたほど危険な脆弱性と分析されました。すでに攻撃者が積極的にエクスプロイトしていて、エクスプロイトに成功した攻撃者は、管理者権限を取得し、事実上、ルーターデバイス全体を掌握することができるようになります。

CISAは、積極的かつ広範な悪用に対応して、CiscoのIOS（Internetworking Operating System）XEソフトウェアのWeb UIに影響を与える2つの脆弱性CVE-2023-20198およびCVE-2023-20273を解決するためのガイドラインを発表しました。

Ciscoの最小のWeb UIゼロデイ「CVE-2023-20198」に関しては、「シスコ Web UI脆弱性、活発に悪用されている」記事をご参照ください。