概要

2020年1月2日、Cisco Systems社はCisco Data Center Network Manager（DCNM）に関するセキュリティアドバイザリを公開しました。アドバイザリでは、REST APIに関する脆弱性（CVE-2019-15975）、SOAP APIに関する脆弱性（CVE-2019-15976）、Webベースの管理インタフェースに関する脆弱性（CVE-2019-15977）が紹介されており、緊急度は最大のCriticalとなっています。いずれの脆弱性も悪用された場合、攻撃者は認証をバイパスし、管理者権限を取得することが可能となります。これらの脆弱性のPoC（概念実証コード）は1月14日に脆弱性の報告者によって公開されており、当該アドバイザリに含まれていない脆弱性（CVE-2019-15978など）を組み合わせることで、任意のコード実行を可能にするものでした。SOCではこれらの脆弱性の内、CVE-2019-15977を利用する攻撃を観測しています。

影響を受けるバージョンと緩和策

Cisco Systems社によると、脆弱性の影響を受けるバージョンは以下の通りです。

• Cisco Data Center Network Manager 11.3(1) より前のバージョン

2019年12月19日に脆弱性が修正されたバージョンのCisco DCNM 11.3(1)がリリースされています。影響を受けるバージョンでは脆弱性を緩和する手段が存在しないため、最新のバージョンへの移行が推奨されます。

SOCにおける観測情報

SOCではCVE-2019-15977を狙う攻撃通信を2月7日から8日にかけて観測しています。これは修正されたバージョンがリリースされてから初めての観測です。図-1に当該期間における攻撃通信件数の推移を示します。なお、図-1の縦軸は対象期間における攻撃総件数で正規化しています。

2月7日17時頃に攻撃が発生し、同日20時頃に一度攻撃が停止していました。その後、2月8日1時頃に攻撃が再開し、同日6時に収束しています。これらの攻撃は全て単一の送信元IPアドレスから送信されており、以降に攻撃の検出はありません。また、2月7日以前に攻撃は観測されておらず、1月14日のPoC公開から実際の攻撃までに時間が空いていました。攻撃が発生する直前の2月6日にExploitDBにPoCが登録されていたため、攻撃者がPoCを入手しやすくなったことが攻撃の開始に繋がったと考えられます。

今回の観測では2回に分けて攻撃が行われています。前半と後半では宛先ポート番号が異なっており、前半の攻撃では80/tcp宛、後半の攻撃では443/tcp宛に通信が行われています。宛先ポート番号は異なりますが、リクエスト先のURLパスやヘッダなどに変化はありませんでした。観測した攻撃リクエストのパケットの一部を図-2に示します。

リクエストはGET /serverinfo/HtmlAdaptor?action=displayServerInfos 宛であり、HTTPヘッダにBasic認証で使用されるAuthorizationヘッダが含まれていました。CVE-2019-15977は静的な認証情報に起因して機密情報を窃取する脆弱性です。Basic認証で利用されているユーザ名とパスワードがPoCに記載されているものと一致していることを確認しています。PoCでは、攻撃は3段階に分かれています。1段階目でCVE-2019-15977を利用して攻撃に利用できるユーザ名とパスワードを窃取し、2段階目でログインを行います。最後の3段階目ではコマンドインジェクションが可能となる脆弱性（CVE-2019-15978）を用いてシェルを奪います。SOCで観測した攻撃は1段階目のみで2段階目以降の攻撃は観測していません。今回の攻撃が試験的なものであった、あるいは1段階目の攻撃が全て失敗したことで2段階目以降に攻撃が進んでいないことが要因であるものと思われます。

まとめ

Cisco Data Center Network Managerはデータセンターを対象としたネットワーク管理システムのため、影響のあるユーザは限定的かと思われます。しかし、公開された脆弱性は緊急度が高く、件数は多くないものの攻撃を観測し始めています。該当する製品をご利用の方は、脆弱性が修正されたバージョンが公開されていますので、そちらへのバージョンアップを推奨します。