Packet Pilot X (Twitter)
2025-11-03

攻撃者が未パッチのCisco機器を狙い、マルウェアを再インストール

オーストラリアのシグナルズ・ディレクターate(ASD)は、攻撃者が未パッチのCisco IOS XEデバイスに「BADCANDY」というマルウェアをインストールし、その削除を検知して再インストールすることができると警告しています。このマルウェアは、CVE-2023-20198という脆弱性を悪用しており、攻撃者はデバイスの制御を奪うことが可能です。再起動によってBADCANDYは削除されますが、攻撃者の追加の行動は元に戻らず、再侵入のリスクが残ります。ASDは、CVE-2023-20198に対するパッチ適用の重要性を強調しています。

メトリクス

このニュースのスケール度合い

5.8 /10

インパクト

8.2 /10

予想外またはユニーク度

7.6 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

9.5 /10

このニュースで行動が起きる/起こすべき度合い

9.3 /10

主なポイント

  • 攻撃者は未パッチのCisco IOS XEデバイスにBADCANDYをインストールし、削除を検知して再インストールします。
  • CVE-2023-20198という脆弱性を悪用しており、再起動では完全に対処できません。

社会的影響

  • ! この脆弱性の悪用により、企業や組織の重要なデータが危険にさらされる可能性があります。
  • ! 特に公共インフラや重要なサービスを提供する機関にとって、セキュリティの脆弱性は深刻な影響を及ぼすことがあります。

編集長の意見

今回の警告は、未パッチのデバイスがどれほど危険であるかを再認識させる重要な事例です。CVE-2023-20198のような高リスクの脆弱性は、攻撃者にとって魅力的なターゲットとなります。特に、BADCANDYのようなマルウェアが存在することで、攻撃者は持続的なアクセスを確保し、さらなる攻撃を行うことが可能になります。企業は、これらの脆弱性に対して迅速にパッチを適用し、セキュリティ対策を強化する必要があります。また、再起動によってマルウェアが削除されることは一時的な解決策に過ぎず、根本的な脆弱性を解消しなければ、再侵入のリスクは常に存在します。今後は、脆弱性管理の重要性がますます高まると考えられます。企業は、定期的なセキュリティ監査や脆弱性スキャンを実施し、最新のセキュリティパッチを適用することが求められます。さらに、従業員に対するセキュリティ教育を強化し、サイバー攻撃に対する意識を高めることも重要です。これにより、組織全体のセキュリティ体制を強化し、攻撃者の侵入を防ぐことができるでしょう。

解説

未パッチのCisco IOS XEを狙う“BADCANDY”が再設置で粘着化──ASD警告は「再感染ループ」対策の遅れを突くものです

今日の深掘りポイント

  • 攻撃者はCVE-2023-20198を足がかりに、インプラント(通称BADCANDY)を投入し、削除後も即時に再設置してアクセスを維持するオペレーションを確立しています。パッチ未適用や管理プレーンの露出が続く限り、再感染ループは止まらない構造です。
  • 再起動でインプラント自体は消えても、権限15のローカルアカウント作成やAAA/SNMP/ログ転送などの「構成変更」は永続化し、継続的な支配や横展開の踏み台として機能し続けます。
  • ルータ/境界機器の侵害は盗聴・経路操作・管理面への横展開に直結します。Web UI停止・管理面到達経路の封じ込み・秘密情報の全ローテーションまで一気通貫でやり切る運用が要諦です。
  • 今回の事象は「パッチ適用」だけでは足りないことを示します。資産棚卸・露出面最小化・構成妥当性の継続検証・ゴールデンコンフィグによる迅速復旧まで、運用プロセスの成熟度が問われます。
  • 現場への示唆は明確です。24–48時間の即応でWeb UI停止とアクセス制御を先行、並行してアップグレード計画、検出ハンティング、秘密情報ローテーション、境界ハードニングを段階的に完了させるべきです。

はじめに

オーストラリアのシグナルズ・ディレクレート(ASD)が、未パッチのCisco IOS XEデバイスを狙うインプラント「BADCANDY」の再設置(削除検知後の再導入)を警告しています。攻撃の基盤はIOS XEのWeb UIに関するCVE-2023-20198で、CVSS 10.0の重大度とされ、公開直後から大規模に悪用されてきた経緯があります。CVE-2023-20198は2023年にCiscoから公表された脆弱性であり、2018年発見ではありませんので留意が必要です。Ciscoは当該脆弱性の深刻度と緊急対処(Web UI無効化・アクセス制御・修正済みリリースへの更新)を明確に示してきています。

参考として、ベンダー一次情報と脆弱性登録は以下が公表されています(背景確認に有用です)。

  • Cisco Security Advisory(CVE-2023-20198, CVSS 10.0): https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-8A5yByHX
  • MITRE CVE(CVE-2023-20198): https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-20198
  • CISA Known Exploited Vulnerabilities Catalog(当該CVEを収載): https://www.cisa.gov/known-exploited-vulnerabilities-catalog

なお、2023年の実攻撃ではCVE-2023-20198による認証回避から権限獲得後、別の欠陥(例: CVE-2023-20273)と組み合わせ、Webサービス層に軽量なインプラントを落とし込む手口が観測されています。MITREの登録情報は下記を参照ください。

  • MITRE CVE(CVE-2023-20273): https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-20273

深掘り詳細

事実関係(一次情報で確認できるポイント)

  • 脆弱性の本質:
    • CVE-2023-20198は、IOS XEのWeb UI(HTTP/HTTPS)機能に関する重大な欠陥で、未認証の攻撃者がレベル15の権限を獲得しうる問題です。CVSSは10.0で、Ciscoは広範な影響と迅速対応を喚起しています(Cisco Advisory参照)です。
    • 公開後まもなく実運用環境での悪用が確認され、CISAのKEVカタログにも追加済みです。公的アセットでの悪用が続いていることを示す重要なシグナルです。
  • インプラント(通称BADCANDY)と永続化の性質:
    • 当初観測されたインプラントはWebサービス層に寄生する軽量コンポーネントで、再起動で消えることが多い一方、攻撃者が作成した管理者アカウントやAAA、SNMP、ログ転送、ACL変更などの「設定変更」は再起動後も残存します。これにより再侵入・横展開の足掛かりが維持されます。
  • ベンダー推奨:
    • Web UIを使わない場合は無効化、到達を必要最小限に制限(管理VRFやACLでの到達制御)、修正済みリリースへの更新、そして不正アカウントや設定の洗い直しが基本対応として示されています(Cisco Advisory)です。

インサイト(再感染ループの実像と組織運用への示唆)

  • 再設置が成立する理由:
    • インプラント自体が揮発的でも、攻撃者が「未パッチかつWeb UIが到達可能」な資産を資産管理のように監視し続けていると仮定すると、デバイス再起動や表層的なクリーニング後も、同一手口で瞬時に再導入が可能です。これは攻撃者側の自動化・スキャン・オーケストレーション(攻撃者の“運用”成熟)に依存しており、個別機器の再起動や単発のマルウェア除去が根治にならないことを意味します。
  • 「構成が資産」であることの重み:
    • ルータ/スイッチはOSイメージより「構成」が攻撃者のレバレッジになりやすい領域です。ローカル管理者の恒久化、AAAの迂回、SNMP/ログの横流し、経路制御やミラーリングなど、設定の一行が攻撃者に長期の視界と支配を許してしまいます。復旧の焦点は「インプラントの除去」ではなく「構成の正統性回復」に置くべきです。
  • パッチ適用を阻む現実:
    • 境界装置は止めにくい、検証が大変、変更窓口が限られるという運用制約を攻撃者は理解しています。このギャップを埋めるのは、段階的な露出面縮小(まず到達遮断)、並行してのイメージ更改計画、そしてゴールデンコンフィグによる迅速復元という実務の設計です。
  • 重要インフラへの波及:
    • 攻撃者視点では、境界装置の支配は「盗聴・経路操作・横展開」の万能鍵です。国家・通信・金融・ヘルスケアなどの重要インフラでは、機器単体のインシデントが広域サービス劣化やサプライチェーンの可視性喪失に繋がるため、優先度は最高位に位置付けるべきです。

脅威シナリオと影響

以下は仮説に基づくシナリオ整理で、MITRE ATT&CKに沿ってTTPをマッピングします。個別環境での実装差はあるため、あくまでハンティング/検証の観点として参照ください。

  • シナリオ1: 公開Web UI経由の即時再感染ループ

    • フロー:
      1. 攻撃者が公開面のWeb UIに対し継続スキャン(T1595: Active Scanning)です。
      2. CVE-2023-20198を用いた初期侵入(TA0001/T1190: Exploit Public-Facing Application)です。
      3. 権限15のローカルアカウント作成(TA0003/T1136.001: Create Account: Local Account)です。
      4. 軽量インプラント(Web層コンポーネント)の投入(TA0002/T1105: Ingress Tool Transfer、TA0011/T1071.001: Web Protocols)です。
      5. デバイス再起動や除去後も、脆弱なままなら再度2)~4)を巡回し再設置です。
    • 影響: 継続的な管理プレーン掌握、監視/横展開の足掛かり維持、復旧工数の浪費です。

  • シナリオ2: 構成改ざんによる長期スパイ活動

    • フロー:
      1. 初期侵入後、AAA/TACACSやSNMP、syslog先を攻撃者管理へ追加(TA0003/T1098: Account Manipulation、TA0010/T1041: Exfiltration Over C2 Channel)です。
      2. トラフィックミラーやSPAN/ERSPAN等の設定流用(環境依存)(TA0009/T1040: Network Sniffing、TA0042/T1565.002: Traffic Manipulation)です。
      3. ログ抑止やACL微修正で検知回避(TA0005/T1562: Impair Defenses)です。
    • 影響: 通信盗聴、資格情報搾取、長期潜伏の実現です。

  • シナリオ3: 管理面からの横展開

    • フロー:
      1. ルータからジャンプホストやNMSへSSH/Telnetで横移動(TA0008/T1021.004: Remote Services: SSH)です。
      2. 取得した認証情報や鍵で他のネットワーク機器に連鎖侵害(TA0006/T1552: Unsecured Credentials)です。
    • 影響: セグメント横断の機器連鎖侵害、全社ネットワーク統制の破壊です。

セキュリティ担当者のアクション

緊急性が高い事案です。以下を優先度順に実行することを推奨します。

  • 直ちに着手(0–24時間)

    • 露出面の遮断:
      • インターネット面でHTTP/HTTPSのWeb UIに到達可能なIOS XE資産を棚卸し、即時に無効化するか、到達元を厳格に閉じます(例: no ip http server / no ip http secure-server、ip http access-class、管理VRF化)です。
      • 外向き管理UIの原則禁止(ゼロトラスト原則)。一時的にメンテナンスが必要な場合は一時利用の踏み台+短期ファイアウォール例外で代替します。
    • 侵害の有無の一次確認:
      • 未知のレベル15ローカルユーザ、AAA/TACACS/SNMP/syslog/NetFlow/ERSPAN設定の差分を即時点検します。
      • 起動前後の差分(running-config vs startup-config、アーカイブ履歴)を比較し、想定外の変更を洗い出します。
    • パッチ計画の確定:
      • Ciscoの修正済みリリース表(Cisco Security Advisory内のFixed Release情報)に従い、対象機器ごとに最短で更新可能なバージョンを確定します。

  • 早期収束(24–72時間)

    • ソフトウェア更新と再硬化:
      • 修正済みリリースへアップグレードし、Web UIは原則無効のままとします。やむを得ず有効にする場合は、管理VRF、管理用ACL、CoPPでの到達制御、TLS/暗号スイートの見直しを同時実施します。
    • 秘密情報の全面ローテーション:
      • ローカルアカウント、TACACS/RADIUS共有鍵、SNMPコミュニティ/USM、ログ転送先の認証、SSHホスト鍵・管理者鍵を全ローテーションします。NMSやジャンプホスト側の資格情報も含めてやり切ります。
    • サイジングされたハンティング:
      • 直近数週間のログでWeb UIへの異常アクセス(認証無しのPOST/GET連打、異常なURI、短時間での管理者ログイン試行)を相関します。
      • NetFlow/PCAPで装置からの未知の外向き通信(C2候補)を探索します。

  • 復旧と検証(~1–2週間)

    • ゴールデンコンフィグでの再構築:
      • 信頼できるゴールデンコンフィグからconfigure replaceを実施し、変更管理で差分ゼロを確認します。不可ならばファクトリーリセット+再プロビジョニングも選択肢です。
    • 信頼性回復の検証:
      • 署名付きイメージの検証、起動時の整合性チェック、ラン/スタートの完全一致確認、脆弱性スキャンの陰転(露出面が閉じていることの確認)まで完了します。
    • 監視と検知の常設化:
      • Syslog/NetFlowの集約、Web UI起動イベントの監視、未知ユーザ作成の検出ルール、AAA/SNMPの変更監視を常設化します。

  • 恒久対策(設計・運用)

    • 管理プレーンの独立:
      • 管理専用VRF・帯域・踏み台(Privileged Access Workstation/Jump)を標準化し、インターネットからの到達ゼロを基本とします。
    • 変更管理と検証の自動化:
      • コンフィグのIaC化とドリフト検知を整備し、想定外変更を自動検出します。週次での「露出面スキャン+コンフィグドリフト+CVE対応状況」を回すオペレーションに落とし込みます。
    • インシデント標準手順:
      • ルータ/スイッチ侵害専用のIR Runbook(隔離、ログ採取、構成復元、鍵ローテーション、外部通報)を整備します。

最後に、今回のスコアリングに内在するメッセージを実務に引き直すと、「今すぐ手が打てる(行動可能性が高い)のに、時間が経つほど攻撃者の再設置オペレーションに飲み込まれる」ということに尽きます。再起動や単発掃除で“直った感”を得るのではなく、露出の遮断→修正済みリリースへの更新→構成の正統性回復→秘密情報の全面ローテーションまでを、短いスプリントでやり切ることが被害最小化の鍵です。

参考情報

  • Cisco Security Advisory(CVE-2023-20198, IOS XE Web UI): https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-8A5yByHX
  • MITRE CVE(CVE-2023-20198): https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-20198
  • MITRE CVE(CVE-2023-20273): https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-20273
  • CISA Known Exploited Vulnerabilities Catalog: https://www.cisa.gov/known-exploited-vulnerabilities-catalog

注: BADCANDYの挙動詳細や再設置オペレーションの運用様式はベンダー・CSIRT各社の分析に依存し、機種/バージョン差異もあります。本稿のシナリオは公開一次情報と過去事例を基にした仮説を含むため、自組織環境での検証を必ず行ってください。

背景情報

  • i CVE-2023-20198は、CiscoのIOS XEソフトウェアに存在する脆弱性で、CVSSスコアは10.0と非常に高い評価を受けています。この脆弱性を利用することで、攻撃者はデバイスのウェブUI機能を悪用し、システムを完全に制御することが可能です。
  • i BADCANDYは、攻撃者がデバイスにインストールするマルウェアで、削除を検知し再インストールする能力を持っています。これにより、攻撃者は持続的なアクセスを維持し、さらなる悪意のある行動を行うことができます。
Packet News 一覧へ戻る