NVFIS의 NGIO에서 대단히 위험한 취약점이 나왔다. 게스트를 통해 호스트의 높은 권한을 차지함으로써 사실상 장비를 공격자가 원격에서 장악할 수 있게 해 주는 취약점이다. 패치를 서두를 필요가 있다.
[보안뉴스 문가용 기자] 시스코의 엔터프라이즈 NFV 인프라스트럭처 소프트웨어(NFVIS)에서 초고위험도 취약점이 발견됐다. 익스플로잇에 성공한 공격자는 피해를 입은 호스트를 완전히 장악할 수 있게 된다고 한다.
[이미지 = utoimage]
시스코의 NVFIS는 네트워크 기능의 가상화(NFV)와 소프트웨어 정의 네트워크(SDN)을 합친 것으로, 사용자 기업들은 이를 통해 가상 네트워크 서비스, 애플리케이션, 가상 기계, 하드웨어 장비를 보다 수월하게 공급하고 관리할 수 있게 된다. 그래서 기업의 내부 네트워크 중간 정도에 위치해 있으며, 공격자들이 횡적으로 움직이기 위한 완벽한 발판이 될 수 있다.
문제의 취약점은 CVE-2022-20777이며, 10점 만점 중 9.9점을 받았을 정도로 위험성이 높다. 보다 정확히는 NVFIS의 NGIO(Next Generation Input/Output, 차세대 입출력)라는 기능에서 발생하는 문제다. 시스코의 보안 권고문에 따르면 게스트 권한 제한을 제대로 하지 못하기 때문에 발생하는 것이라고 한다.
“공격자가 피해자의 게스트 가상기계에 서명을 해서 호스트 기계에 접속하는 것에 성공할 경우 게스트 가상기계를 탈출해 호스트의 루트에 접근할 수 있게 됩니다. 가상기계에서부터 API 호출을 전송함으로써 취약점 익스플로잇이 가능하게 됩니다. 성공하게 되면 공격자는 NFVIS 호스트를 완전히 장악할 수 있고요.”
시스코는 이번 주 화요일부터 패치를 배포하기 시작했다. 보안 업체 세브코시큐리티(Sevco Security)의 CEO JJ 가이(JJ Guy)는 “기업들이 이번 취약점을 심각하게 생각해야 한다”고 강조한다. “대부분의 기업들이 게스트 가상기계를 사용해 워크로드를 분리하고, 권한을 차등해서 부여하기 때문이죠. 게스트로 접속해 호스트의 루트 권한까지 가져갈 수 있게 된다는 건 그 요소가 무엇이든 항상 초고위험도 취약점이 됩니다. 초고위험도로 분류되는 데에는 이유가 있지요.”
취약점 패치, 서두를수록 좋아
이 위험한 취약점 외에도 두 개의 취약점이 추가로 패치됐다. 이는 다음과 같다.
1) CVE-2022-20779 : 이미지 등록 프로세스에서 발견된 명령 주입 고위험군 취약점으로 익스플로잇 될 경우 원격 공격자에게 명령 주입 권한이 부여된다.
2) CVE-2022-20780 : 원격의 공격자가 인증 과정을 거치지 않고 시스템 데이터를 유출시킬 수 있게 해 주는 중위험군 취약점이다. XML 파서의 외부 조직들의 해상도 때문에 발생하는 것이라고 한다.
시스코는 고객사들에 “빠르게 패치하면 할수록 사이버 공격에 당할 확률이 줄어든다”고 강조했다. 거기에 더해 건강한 비밀번호 관리 정책도 반드시 도입되어야 한다고 권고했다. 특히 네트워크 및 인프라 구성에 꼭 필요한 장비나 솔루션이라면 더더욱 만전을 기해야 한다고 고객들에 알렸다.
3줄 요약
1. 시스코의 주요 인프라 구성 소프트웨어에서 초고위험도 취약점 발견됨.
2. 게스트 가상기계 통해서 호스트의 루트에까지 이를 수 있게 해 주는 취약점.
3. 패치가 이번 주부터 배포되기 시작했으니 재빠르게 적용하는 것이 필요.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 시스코의 엔터프라이즈 NFV 인프라스트럭처 소프트웨어(NFVIS)에서 초고위험도 취약점이 발견됐다. 익스플로잇에 성공한 공격자는 피해를 입은 호스트를 완전히 장악할 수 있게 된다고 한다.
[이미지 = utoimage]
시스코의 NVFIS는 네트워크 기능의 가상화(NFV)와 소프트웨어 정의 네트워크(SDN)을 합친 것으로, 사용자 기업들은 이를 통해 가상 네트워크 서비스, 애플리케이션, 가상 기계, 하드웨어 장비를 보다 수월하게 공급하고 관리할 수 있게 된다. 그래서 기업의 내부 네트워크 중간 정도에 위치해 있으며, 공격자들이 횡적으로 움직이기 위한 완벽한 발판이 될 수 있다.
문제의 취약점은 CVE-2022-20777이며, 10점 만점 중 9.9점을 받았을 정도로 위험성이 높다. 보다 정확히는 NVFIS의 NGIO(Next Generation Input/Output, 차세대 입출력)라는 기능에서 발생하는 문제다. 시스코의 보안 권고문에 따르면 게스트 권한 제한을 제대로 하지 못하기 때문에 발생하는 것이라고 한다.
“공격자가 피해자의 게스트 가상기계에 서명을 해서 호스트 기계에 접속하는 것에 성공할 경우 게스트 가상기계를 탈출해 호스트의 루트에 접근할 수 있게 됩니다. 가상기계에서부터 API 호출을 전송함으로써 취약점 익스플로잇이 가능하게 됩니다. 성공하게 되면 공격자는 NFVIS 호스트를 완전히 장악할 수 있고요.”
시스코는 이번 주 화요일부터 패치를 배포하기 시작했다. 보안 업체 세브코시큐리티(Sevco Security)의 CEO JJ 가이(JJ Guy)는 “기업들이 이번 취약점을 심각하게 생각해야 한다”고 강조한다. “대부분의 기업들이 게스트 가상기계를 사용해 워크로드를 분리하고, 권한을 차등해서 부여하기 때문이죠. 게스트로 접속해 호스트의 루트 권한까지 가져갈 수 있게 된다는 건 그 요소가 무엇이든 항상 초고위험도 취약점이 됩니다. 초고위험도로 분류되는 데에는 이유가 있지요.”
취약점 패치, 서두를수록 좋아
이 위험한 취약점 외에도 두 개의 취약점이 추가로 패치됐다. 이는 다음과 같다.
1) CVE-2022-20779 : 이미지 등록 프로세스에서 발견된 명령 주입 고위험군 취약점으로 익스플로잇 될 경우 원격 공격자에게 명령 주입 권한이 부여된다.
2) CVE-2022-20780 : 원격의 공격자가 인증 과정을 거치지 않고 시스템 데이터를 유출시킬 수 있게 해 주는 중위험군 취약점이다. XML 파서의 외부 조직들의 해상도 때문에 발생하는 것이라고 한다.
시스코는 고객사들에 “빠르게 패치하면 할수록 사이버 공격에 당할 확률이 줄어든다”고 강조했다. 거기에 더해 건강한 비밀번호 관리 정책도 반드시 도입되어야 한다고 권고했다. 특히 네트워크 및 인프라 구성에 꼭 필요한 장비나 솔루션이라면 더더욱 만전을 기해야 한다고 고객들에 알렸다.
3줄 요약
1. 시스코의 주요 인프라 구성 소프트웨어에서 초고위험도 취약점 발견됨.
2. 게스트 가상기계 통해서 호스트의 루트에까지 이를 수 있게 해 주는 취약점.
3. 패치가 이번 주부터 배포되기 시작했으니 재빠르게 적용하는 것이 필요.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
(0).jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
