위험도에 있어서 가장 높은 점수를 받은 취약점이 현재 시스코의 네트워크 장비 일부에서 발견됐다. 아직 패치가 나오지 않은 상태에서 공격이 먼저 시작되는 바람에 공개가 됐고, 시스코는 패치 개발을 서두르고 있다.
[보안뉴스 문정후 기자] 시스코가 고객들에게 긴급 경고를 전달하고 있다. 자사가 개발한 IOS XE 기반 장비들 중 인터넷에 연결된 것들에서 HTTPS 서버(HTTPS Server)라는 기능을 전부 비활성화 하라는 내용이다. 해당 기능에서 제로데이 취약점이 발견됐고, 공격자들이 이를 현재 활발히 익스플로잇 하고 있기 때문이라고 한다.
[이미지 = gettyimagesbank]
시스코의 IOS XE는 일종의 운영 체계(OS)로, 시스코가 차세대 기업용 네트워크 장비들에 탑재시키고 있다. 문제의 취약점은 CVE-2023-20198로, 시스코 IOS XE 기반이면서 웹UI(Web UI) 기능이 활성화 되어 있는 모든 장비들에 영향을 준다. 문제는 이 기능이 디폴트로 활성화 되어 있기 때문에 사용자가 일부러 이 기능을 찾아 끄는 게 아닌 이상 늘 활성화 되어 있는 게 보통이라는 것이다. 게다가 패치도 아직은 없는 상황이다.
시스코에 의하면 CVE-2023-20198은 일종의 권한 상승 취약점으로, 익스플로잇 성공 시 장비의 완전 장악으로까지 이어질 수 있다고 한다. 시스코는 해당 취약점에 가장 높은 CVSS 점수인 10점을 부여하고 있다. 초고도 위험도를 가진 것들 중에서도 최상위권의 위험성을 가진 것으로 판단하고 있는 것이다.
만점짜리 위험성, CVE-2023-20198
10월 16일자 보안 권고문을 통해 시스코는 “공격자가 15등급 권한을 가지고 피해자의 시스템에 접근할 수 있게 해 주는 취약점”이라고 묘사했다. “해당 계정을 공격자가 이용할 경우 모든 명령을 실행하고, 각종 환경 설정 항목들을 변경할 수 있게 됩니다.”
실제 공격이 있기도 했다. 아직까지 정체가 밝혀지지 않은 한 공격자 혹은 공격 단체가 IOS XE에 접근한 후 이 취약점을 이용이 루아(Lua)어 기반으로 만들어진 임플란트를 심은 것이다. 이후 공격자는 임의의 명령을 실행했다. 이 과정에서 공격자는 또 다른 취약점도 익스플로잇 했는데, 이 취약점은 CVE-2021-1435이다. 중위험도로 분류된 명령 주입 취약점으로, 역시 웹UI 요소에서 발견됐었다. 시스코는 이 취약점을 2021년에 이미 패치한 바 있다. 피해가 발생한 장비들은 이 패치가 적용되어 있었기 때문에 공격자들이 이 취약점을 어떤 식으로 익스플로잇 했는지는 아직 연구 대상이다.
시스코 네트워크 장비들을 겨냥한 악성 행위들
그러다가 10월 12일 시스코의 탈로스(Talos) 팀이 이 취약점과 관련된 또 다른 악성 행위들이 뭉텅이로 일어나고 있음을 발견했다. 공격자들은 로컬 사용자 계정을 임의로 생성한 후, 해당 계정을 통해 여러 가지 악성 행위들을 실시하고 있었다. 특히 악성 임플란트를 드롭시켜 임의의 명령을 주입하는 것이 눈에 띄었다. 이것이 가장 주된 공격 목적인 것으로 보였다.
“악성 임플란트를 가지고 악성 행위를 시작하려면 웹서버가 새로 시작되어야 합니다. 저희가 관찰한 여러 공격 시도 중 한두 건에서 웹서버 재시작이 성립되지 않는 바람에 임플란트가 활성화 되지 않았습니다. 임플란트 설치까지만 되고 끝난 공격이었죠. 해당 임플란트들은 공격을 지속시키는 메커니즘을 가지고 있지 않았습니다. 피해자 입장에서 찾아서 제거한다면 충분히 제거가 가능합니다.” 탈로스 팀의 설명이다.
하지만 CVE-2023-20198 취약점을 가지고 생성한 사용자 계정 자체를 통해서는 공격을 지속시키는 게 가능했다. 공격자들은 다른 침투 통로들이 사라져도 이 계정들을 통해서 계속해서 피해자의 시스템에 들락날락 할 수 있었다. 그래서 시스코 탈로스의 연구원들은 IOS XE 장비에서 새롭게 생성된 사용자 계정들을 낱낱이 검사할 필요가 있다고 강조했다.
아직 패치 없어
시스코는 아직 이 취약점에 대한 패치를 개발하지 못한 상태다. “그래서 현재는 IOS XE의 웹UI 기능을 비활성화시키는 것”이 유일한 방어책이라고 할 수 있다. 또한 시스코의 패치 소식을 주기적으로 점검함으로써 웹UI 관련 패치가 나왔을 때 빠르게 적용하는 것이 중요하다고 시스코는 강조한다.
이번에 문제가 된 웹UI에서는 얼마 전에도 중요한 취약점이 발굴됐었다. 지난 9월의 일로, CVE-2023-20231이라는 명령 주입 취약점이 발견됐던 것이다. 이 역시 공격자의 권한을 높여주는 것으로, 시스코에 따르면 공격자는 IOS XE에서 15등급의 권한을 가져갈 수 있게 된다.
글 : 자이 바이자얀(Jai Vijayan), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 시스코가 고객들에게 긴급 경고를 전달하고 있다. 자사가 개발한 IOS XE 기반 장비들 중 인터넷에 연결된 것들에서 HTTPS 서버(HTTPS Server)라는 기능을 전부 비활성화 하라는 내용이다. 해당 기능에서 제로데이 취약점이 발견됐고, 공격자들이 이를 현재 활발히 익스플로잇 하고 있기 때문이라고 한다.
[이미지 = gettyimagesbank]
시스코의 IOS XE는 일종의 운영 체계(OS)로, 시스코가 차세대 기업용 네트워크 장비들에 탑재시키고 있다. 문제의 취약점은 CVE-2023-20198로, 시스코 IOS XE 기반이면서 웹UI(Web UI) 기능이 활성화 되어 있는 모든 장비들에 영향을 준다. 문제는 이 기능이 디폴트로 활성화 되어 있기 때문에 사용자가 일부러 이 기능을 찾아 끄는 게 아닌 이상 늘 활성화 되어 있는 게 보통이라는 것이다. 게다가 패치도 아직은 없는 상황이다.
시스코에 의하면 CVE-2023-20198은 일종의 권한 상승 취약점으로, 익스플로잇 성공 시 장비의 완전 장악으로까지 이어질 수 있다고 한다. 시스코는 해당 취약점에 가장 높은 CVSS 점수인 10점을 부여하고 있다. 초고도 위험도를 가진 것들 중에서도 최상위권의 위험성을 가진 것으로 판단하고 있는 것이다.
만점짜리 위험성, CVE-2023-20198
10월 16일자 보안 권고문을 통해 시스코는 “공격자가 15등급 권한을 가지고 피해자의 시스템에 접근할 수 있게 해 주는 취약점”이라고 묘사했다. “해당 계정을 공격자가 이용할 경우 모든 명령을 실행하고, 각종 환경 설정 항목들을 변경할 수 있게 됩니다.”
실제 공격이 있기도 했다. 아직까지 정체가 밝혀지지 않은 한 공격자 혹은 공격 단체가 IOS XE에 접근한 후 이 취약점을 이용이 루아(Lua)어 기반으로 만들어진 임플란트를 심은 것이다. 이후 공격자는 임의의 명령을 실행했다. 이 과정에서 공격자는 또 다른 취약점도 익스플로잇 했는데, 이 취약점은 CVE-2021-1435이다. 중위험도로 분류된 명령 주입 취약점으로, 역시 웹UI 요소에서 발견됐었다. 시스코는 이 취약점을 2021년에 이미 패치한 바 있다. 피해가 발생한 장비들은 이 패치가 적용되어 있었기 때문에 공격자들이 이 취약점을 어떤 식으로 익스플로잇 했는지는 아직 연구 대상이다.
시스코 네트워크 장비들을 겨냥한 악성 행위들
그러다가 10월 12일 시스코의 탈로스(Talos) 팀이 이 취약점과 관련된 또 다른 악성 행위들이 뭉텅이로 일어나고 있음을 발견했다. 공격자들은 로컬 사용자 계정을 임의로 생성한 후, 해당 계정을 통해 여러 가지 악성 행위들을 실시하고 있었다. 특히 악성 임플란트를 드롭시켜 임의의 명령을 주입하는 것이 눈에 띄었다. 이것이 가장 주된 공격 목적인 것으로 보였다.
“악성 임플란트를 가지고 악성 행위를 시작하려면 웹서버가 새로 시작되어야 합니다. 저희가 관찰한 여러 공격 시도 중 한두 건에서 웹서버 재시작이 성립되지 않는 바람에 임플란트가 활성화 되지 않았습니다. 임플란트 설치까지만 되고 끝난 공격이었죠. 해당 임플란트들은 공격을 지속시키는 메커니즘을 가지고 있지 않았습니다. 피해자 입장에서 찾아서 제거한다면 충분히 제거가 가능합니다.” 탈로스 팀의 설명이다.
하지만 CVE-2023-20198 취약점을 가지고 생성한 사용자 계정 자체를 통해서는 공격을 지속시키는 게 가능했다. 공격자들은 다른 침투 통로들이 사라져도 이 계정들을 통해서 계속해서 피해자의 시스템에 들락날락 할 수 있었다. 그래서 시스코 탈로스의 연구원들은 IOS XE 장비에서 새롭게 생성된 사용자 계정들을 낱낱이 검사할 필요가 있다고 강조했다.
아직 패치 없어
시스코는 아직 이 취약점에 대한 패치를 개발하지 못한 상태다. “그래서 현재는 IOS XE의 웹UI 기능을 비활성화시키는 것”이 유일한 방어책이라고 할 수 있다. 또한 시스코의 패치 소식을 주기적으로 점검함으로써 웹UI 관련 패치가 나왔을 때 빠르게 적용하는 것이 중요하다고 시스코는 강조한다.
이번에 문제가 된 웹UI에서는 얼마 전에도 중요한 취약점이 발굴됐었다. 지난 9월의 일로, CVE-2023-20231이라는 명령 주입 취약점이 발견됐던 것이다. 이 역시 공격자의 권한을 높여주는 것으로, 시스코에 따르면 공격자는 IOS XE에서 15등급의 권한을 가져갈 수 있게 된다.
글 : 자이 바이자얀(Jai Vijayan), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
