https://www.jpcert.or.jp/at/2023/at230025.html
引用元: JPCERTコーディネーションセンター 注意喚起
詳細、最新情報については、上記引用元を参照ください。
以下に概要を抜粋しております。
概要
2023年10月16日(現地時間)、CiscoはCisco IOS XE ソフトウェアのWeb UI機
能における権限昇格の脆弱性に関する情報を公開しています。同製品のWeb UI
機能をインターネットまたは信頼されないネットワークに公開している場合、
本脆弱性が悪用され、遠隔の認証されていない第三者が、最上位の特権アカウ
ントを作成し、当該システムを制御する可能性があります。
JPCERT/CCでは、本脆弱性を悪用した攻撃による被害を確認しています。
加えて、未精査の情報も含まれますが、本脆弱性を悪用した攻撃にて、対象機
器に不審な設定ファイルが設置されているホストに関する情報が複数観測され
ています。同製品でWeb UI機能を利用している場合、CiscoやCisco Talosが提
供する最新の情報を確認の上、推奨事項の適用および侵害痕跡の調査の実施を
推奨します。
Cisco
Cisco IOS XE Software Web UI Privilege Escalation Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z
----------------------------------------------------------------------------
CISTA
https://cista.jpcert.or.jp/organizations/3/threads/2963/messages
JPCERT/CC 注意喚起
https://www.jpcert.or.jp/at/2023/at230025.html
ご参考
Cisco
Cisco IOS XE Software Web UI Privilege Escalation Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z
