Offcanvas

APIC

"즉시 패치 필요"··· 시스코, '심각' 등급 취약점 3 가지 발표

시스코가 자사의 고급 소프트웨어 시스템인 애플리케이션 중심 인프라(ACI), 애플리케이션 서비스 엔진(ASE), NX-OS 운영체제용 패치를 발표했다.  시스코가 자사의 고급 소프트웨어 시스템을 위해 ‘심각’ 등급에 해당하는 보안 경보 3가지를 발표했다. 그중 2 가지는 ASE의 구현과 관련된 것이며, 1가지는 NX-OS 운영체제에 대한 것이다.    위험 수준이 가장 높은 경보는 ASE에 설치되는 ACI 멀티사이트 오케스트레이터(MSO)에 관한 것이다. 공통 취약점 등급 시스템(CVSS)상 10점 만점 중 10점에 해당한다. ACI MSO는 고객이 시스코 애플리케이션 정책 인프라 컨트롤러 기반의 패브릭 전반에 걸친 애플리케이션 접근 정책을 제어할 수 있는 도구다.  보안 경보에 따르면, 원거리에 있는 정체불명의 해커는 ASE에 설치된 ACI MSO의 API 엔드포인트 속 취약점을 이용해 공격 대상 기기가 요구하는 인증을 우회적으로 수행할 수 있다. 탈취에 성공할 경우 해커는 관리자 수준의 권한이 있는 토큰을 받는다. 이 토큰은 공격 대상 MSO와 관리하의 시스코 애플리케이션 정책 인프라 컨트롤러(APIC) 기기의 API가 요구하는 인증을 수행하는 데 사용할 수 있다.  이 취약점은 특정 API 엔드포인트에서의 토큰 검증이 적절히 이뤄지지 못했기 때문에 발생한다. 시스코에 따르면, 이 취약점은 소프트웨어 3.0 릴리스를 구동하는 시스코 ACI MSO가 시스코 ASE에 배포된 경우에만 영향을 미친다.  두 번째로 위험 수준이 높은 경보는 ASE 자체에 대한 것이다. 시스코에 따르면, CVSS 척도상 전반적으로 9.8점에 달하는 취약점이 여러 개 존재한다.    해커는 이 취약점을 통해 컨테이너 실행이나 호스트 수준의 작업 호출을 할 수 있는 접근 권한을 획득할 수 있다. 이 취약점은 데이터 네트워크(Data Network)에서 구동되는 서비스에 대한 접근 제어가 충분하...

시스코 취약점 NX-OS ACI ASE CVSS APIC 넥서스 TCP 패킷

2021.02.25

시스코가 자사의 고급 소프트웨어 시스템인 애플리케이션 중심 인프라(ACI), 애플리케이션 서비스 엔진(ASE), NX-OS 운영체제용 패치를 발표했다.  시스코가 자사의 고급 소프트웨어 시스템을 위해 ‘심각’ 등급에 해당하는 보안 경보 3가지를 발표했다. 그중 2 가지는 ASE의 구현과 관련된 것이며, 1가지는 NX-OS 운영체제에 대한 것이다.    위험 수준이 가장 높은 경보는 ASE에 설치되는 ACI 멀티사이트 오케스트레이터(MSO)에 관한 것이다. 공통 취약점 등급 시스템(CVSS)상 10점 만점 중 10점에 해당한다. ACI MSO는 고객이 시스코 애플리케이션 정책 인프라 컨트롤러 기반의 패브릭 전반에 걸친 애플리케이션 접근 정책을 제어할 수 있는 도구다.  보안 경보에 따르면, 원거리에 있는 정체불명의 해커는 ASE에 설치된 ACI MSO의 API 엔드포인트 속 취약점을 이용해 공격 대상 기기가 요구하는 인증을 우회적으로 수행할 수 있다. 탈취에 성공할 경우 해커는 관리자 수준의 권한이 있는 토큰을 받는다. 이 토큰은 공격 대상 MSO와 관리하의 시스코 애플리케이션 정책 인프라 컨트롤러(APIC) 기기의 API가 요구하는 인증을 수행하는 데 사용할 수 있다.  이 취약점은 특정 API 엔드포인트에서의 토큰 검증이 적절히 이뤄지지 못했기 때문에 발생한다. 시스코에 따르면, 이 취약점은 소프트웨어 3.0 릴리스를 구동하는 시스코 ACI MSO가 시스코 ASE에 배포된 경우에만 영향을 미친다.  두 번째로 위험 수준이 높은 경보는 ASE 자체에 대한 것이다. 시스코에 따르면, CVSS 척도상 전반적으로 9.8점에 달하는 취약점이 여러 개 존재한다.    해커는 이 취약점을 통해 컨테이너 실행이나 호스트 수준의 작업 호출을 할 수 있는 접근 권한을 획득할 수 있다. 이 취약점은 데이터 네트워크(Data Network)에서 구동되는 서비스에 대한 접근 제어가 충분하...

2021.02.25

시스코, AWS∙MS와 통합 멀티 클라우드 관리용 ACI 강화

시스코가 자사의 핵심 네트워킹 소프트웨어를 업그레이드했다. 여기에는 엔터프라이즈 멀티 클라우드 통합 및 관리 지원이 개선되고 통신 사업자나 하이퍼스케일러가 대규모 데이터센터 네트워크를 함께 묶는 데 도움이 되는 도구가 포함돼 있다.    새로운 기능은 시스코의 핵심 데이터센터 넥서스 9000 시스템에서 실행되는 시스코 ACI (Application Centric Infrastructure) 소프트웨어 5.0 릴리스의 일부다. ACI는 시스코의 대표적인 소프트웨어 정의 네트워킹(SDN) 데이터센터 패키지다. 또한 시스코의 인텐트 기반 네트워킹 기술을 제공하여 기업이 네트워크 및 정책 변경 사항을 자동으로 구현하고 데이터 전달을 보장할 수 있게 해준다. 시스코는 ACI 애니웨어 패키지(클라우드 ACI와 같은 기타 확장 포함)를 통해 ACI를 확장하여 기업이 데이터센터, 프라이빗 클라우드나 퍼블릭 클라우드, 또는 에지 등 사용자가 원하는 곳에서 원하는 애플리케이션을 유연하게 실행하고 제어할 수 있도록 해준다. 이밖에도 전체 도메인에서 일관된 네트워크 및 보안 정책을 유지한다. 예를 들어 ACI 애니웨어는 시스코의 SDN APIC(Application Policy Infrastructure Controller)를 통해 구성된 정책은 퍼블릭 클라우드 업체가 제공하는 네이티브 API를 사용하여 프라이빗 클라우드와 퍼블릭 클라우드 환경에서 변경 사항을 조정하도록 할 것이라고 시스코는 전했다. 시스코는 자사의 멀티사이트 오케스트레이터(Multisite Orchestrator)가 여러 사이트와 서비스에서 구현하고 관리하는 데 도움을 준다고 밝혔다. ACI 5.0은 ACI 애니웨어와 클라우드 ACI 확장을 계속하여 이제 아마존웹서비스(AWS) 트랜짓 게이트웨이(TGW)에 대한 지원을 포함한다. 시스코는 향후 마이크로소프트 애저 클라우드 피어링도 지원한다고 발표했다. TGW는 기업이 아마존 버추얼 프라이빗 클라우드(VPC)와 온프레미스 네트워크를 단...

멀티클라우드 소프트웨어 정의 네트워킹 SDN 시스코 ACI APIC Application Policy Infrastructure Controller 마이크로소프트 애저

2020.05.25

시스코가 자사의 핵심 네트워킹 소프트웨어를 업그레이드했다. 여기에는 엔터프라이즈 멀티 클라우드 통합 및 관리 지원이 개선되고 통신 사업자나 하이퍼스케일러가 대규모 데이터센터 네트워크를 함께 묶는 데 도움이 되는 도구가 포함돼 있다.    새로운 기능은 시스코의 핵심 데이터센터 넥서스 9000 시스템에서 실행되는 시스코 ACI (Application Centric Infrastructure) 소프트웨어 5.0 릴리스의 일부다. ACI는 시스코의 대표적인 소프트웨어 정의 네트워킹(SDN) 데이터센터 패키지다. 또한 시스코의 인텐트 기반 네트워킹 기술을 제공하여 기업이 네트워크 및 정책 변경 사항을 자동으로 구현하고 데이터 전달을 보장할 수 있게 해준다. 시스코는 ACI 애니웨어 패키지(클라우드 ACI와 같은 기타 확장 포함)를 통해 ACI를 확장하여 기업이 데이터센터, 프라이빗 클라우드나 퍼블릭 클라우드, 또는 에지 등 사용자가 원하는 곳에서 원하는 애플리케이션을 유연하게 실행하고 제어할 수 있도록 해준다. 이밖에도 전체 도메인에서 일관된 네트워크 및 보안 정책을 유지한다. 예를 들어 ACI 애니웨어는 시스코의 SDN APIC(Application Policy Infrastructure Controller)를 통해 구성된 정책은 퍼블릭 클라우드 업체가 제공하는 네이티브 API를 사용하여 프라이빗 클라우드와 퍼블릭 클라우드 환경에서 변경 사항을 조정하도록 할 것이라고 시스코는 전했다. 시스코는 자사의 멀티사이트 오케스트레이터(Multisite Orchestrator)가 여러 사이트와 서비스에서 구현하고 관리하는 데 도움을 준다고 밝혔다. ACI 5.0은 ACI 애니웨어와 클라우드 ACI 확장을 계속하여 이제 아마존웹서비스(AWS) 트랜짓 게이트웨이(TGW)에 대한 지원을 포함한다. 시스코는 향후 마이크로소프트 애저 클라우드 피어링도 지원한다고 발표했다. TGW는 기업이 아마존 버추얼 프라이빗 클라우드(VPC)와 온프레미스 네트워크를 단...

2020.05.25

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13