이메일 필터링 기능에서 발견된 고위험군 취약점도 같이 패치
[보안뉴스 문가용 기자] 시스코 시스템즈(Cisco Systems)가 네트워크 장비 탐지 도구가 원격 해킹 공격에 악용될 수 있다고 고객들에게 경고했다. 여기에서 발견된 오류를 공격자가 악용할 경우, 시스템에 로그인을 하고 민감한 정보를 수집하는 게 가능하다고 한다. 이 오류는 CVE-2019-1723으로, CVSS 점수 9.8점을 받았을 정도로 치명적이라고 한다.
[이미지 = iclickart]
이 취약점에 영향을 받고 있는 건 시스코 커먼 서비스 플랫폼 컬렉터(Cisco Common Service Platform Collector, CSPC)라고 하는데, 이는 네트워크 내 시스코 장비들로부터 정보를 일괄적으로 수집하는 데 사용되는 툴이다. 이렇게 중요한 툴인데 디폴트 비밀번호로 설정되어 있는 경우가 많아 원격에서부터의 접근이 가능하다고 한다. 다만 시스코 측은 “그렇게 접근한다고 해도 관리자급 권한이 주어지는 건 아니”라고 강조했다.
시스코의 보안 권고문에 따르면 “결국 해당 장비에 미리 설정된 디폴트 사용자 계정이 디폴트 비밀번호로 보호되어 있다는 게 문제”인데, “이를 공격자가 악용할 경우 원격에서 각종 민감한 정보를 수집하는 게 가능하다”고 한다. “다만 디폴트 사용자 계정이 관리자 사용자 계정인 것은 아닙니다.”
CSPC는 여러 가지 서비스 및 제품들과 호환되어 광범위하게 사용되고 있다. 호환되는 제품 및 서비스로는 스마트 넷 토탈 케어(Smart Net Total Care), 파트너 서포트 서비스(Partner Support Service), 비즈니스 크리티컬 서비스(Business Critical Services) 등이 있다. CSPC는 인벤토리 정보, 제품에서 나오는 경보, 환경설정 정보, 기술 서비스 지원 범위, 하드웨어 및 OS 소프트웨어의 생애주기 정보 등을 수집한다.
취약한 버전은 2.7.2~2.7.4.5 버전과 2.8.1.2 이전 2.8.x 버전이다. 아직 이 버전들이 실제 해킹 공격에 활용되거나 당한 사례는 없다고 시스코는 주장하기도 했다.
두 개의 추가적인 ‘고위험군’ 버그
그 외에도 시스코는 두 개의 고위험군 취약점들에 대해 알리기도 했다. 시스코 이메일 시큐리티 어플라이언스(Cisco Email Security Appliances)에서 발견된 CVE-2018-15460과 시스코 스몰 비즈니스 SPA514G IP 폰(Cisco Small Business SPA514G IP Phone)에서 발견된 CVE-2018-0389 취약점이 바로 그것이다.
두 번째 취약점에 대해서 시스코는 “장비 내 구축된 세션 이니시에이션 프로토콜(Session Initiation Protocol)에서 취약점이 발견되었으며, 이를 악용할 경우 공격자들이 원격에서 디도스 공격을 가해 장비를 먹통으로 만들 수 있다”고 경고했다. 그러나 SPA514G IP 폰은 이미 제품 수명이 다했기 때문에 업데이트를 발표하지 않을 것이라고 했다. 비슷한 제품인 SPA51x와 SPA52x에서는 위 취약점이 나타나지 않는다고 한다.
한편 CVE-2018-15460의 경우는 이메일 시큐리티 어플라이언스 내에 있는 AsyncOS 소프트웨어의 이메일 메시지 필터링 기능에서 발견된 것으로, 익스플로잇 될 경우 디도스 효과를 일으킨다. “인증을 받지 않은 원격의 공격자가 CPU 소모를 100%로 증가시켜 디도스 상태를 만들 수 있게 해주는 취약점”이라고 시스코는 썼다.
결국 이 문제는 “화이트리스트 처리 된 URL을 참조하는 이메일 메시지들을 제대로 처리하지 못하기 때문에 발생하는 것”이라는 시스코는 “화이트리스트 된 주소가 다량 포함된 메시지 내에 악성 주소를 약간 덧붙임으로써 익스플로잇이 가능했다”라고 설명했다. 이메일 시큐리티 어플라이언스의 경우는 업데이트가 발표됐다.
2줄 요약
1. 시스코, 치명적인 취약점 하나와 고위험군 취약점 하나에 대한 패치 발표.
2. 고위험군 취약점은 한 개가 더 발견됐으나, 장비가 이미 단종된 것이기 때문에 업데이트 없을 것임.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>