Offcanvas

NX-OS

"즉시 패치 필요"··· 시스코, '심각' 등급 취약점 3 가지 발표

시스코가 자사의 고급 소프트웨어 시스템인 애플리케이션 중심 인프라(ACI), 애플리케이션 서비스 엔진(ASE), NX-OS 운영체제용 패치를 발표했다.  시스코가 자사의 고급 소프트웨어 시스템을 위해 ‘심각’ 등급에 해당하는 보안 경보 3가지를 발표했다. 그중 2 가지는 ASE의 구현과 관련된 것이며, 1가지는 NX-OS 운영체제에 대한 것이다.    위험 수준이 가장 높은 경보는 ASE에 설치되는 ACI 멀티사이트 오케스트레이터(MSO)에 관한 것이다. 공통 취약점 등급 시스템(CVSS)상 10점 만점 중 10점에 해당한다. ACI MSO는 고객이 시스코 애플리케이션 정책 인프라 컨트롤러 기반의 패브릭 전반에 걸친 애플리케이션 접근 정책을 제어할 수 있는 도구다.  보안 경보에 따르면, 원거리에 있는 정체불명의 해커는 ASE에 설치된 ACI MSO의 API 엔드포인트 속 취약점을 이용해 공격 대상 기기가 요구하는 인증을 우회적으로 수행할 수 있다. 탈취에 성공할 경우 해커는 관리자 수준의 권한이 있는 토큰을 받는다. 이 토큰은 공격 대상 MSO와 관리하의 시스코 애플리케이션 정책 인프라 컨트롤러(APIC) 기기의 API가 요구하는 인증을 수행하는 데 사용할 수 있다.  이 취약점은 특정 API 엔드포인트에서의 토큰 검증이 적절히 이뤄지지 못했기 때문에 발생한다. 시스코에 따르면, 이 취약점은 소프트웨어 3.0 릴리스를 구동하는 시스코 ACI MSO가 시스코 ASE에 배포된 경우에만 영향을 미친다.  두 번째로 위험 수준이 높은 경보는 ASE 자체에 대한 것이다. 시스코에 따르면, CVSS 척도상 전반적으로 9.8점에 달하는 취약점이 여러 개 존재한다.    해커는 이 취약점을 통해 컨테이너 실행이나 호스트 수준의 작업 호출을 할 수 있는 접근 권한을 획득할 수 있다. 이 취약점은 데이터 네트워크(Data Network)에서 구동되는 서비스에 대한 접근 제어가 충분하...

시스코 취약점 NX-OS ACI ASE CVSS APIC 넥서스 TCP 패킷

2021.02.25

시스코가 자사의 고급 소프트웨어 시스템인 애플리케이션 중심 인프라(ACI), 애플리케이션 서비스 엔진(ASE), NX-OS 운영체제용 패치를 발표했다.  시스코가 자사의 고급 소프트웨어 시스템을 위해 ‘심각’ 등급에 해당하는 보안 경보 3가지를 발표했다. 그중 2 가지는 ASE의 구현과 관련된 것이며, 1가지는 NX-OS 운영체제에 대한 것이다.    위험 수준이 가장 높은 경보는 ASE에 설치되는 ACI 멀티사이트 오케스트레이터(MSO)에 관한 것이다. 공통 취약점 등급 시스템(CVSS)상 10점 만점 중 10점에 해당한다. ACI MSO는 고객이 시스코 애플리케이션 정책 인프라 컨트롤러 기반의 패브릭 전반에 걸친 애플리케이션 접근 정책을 제어할 수 있는 도구다.  보안 경보에 따르면, 원거리에 있는 정체불명의 해커는 ASE에 설치된 ACI MSO의 API 엔드포인트 속 취약점을 이용해 공격 대상 기기가 요구하는 인증을 우회적으로 수행할 수 있다. 탈취에 성공할 경우 해커는 관리자 수준의 권한이 있는 토큰을 받는다. 이 토큰은 공격 대상 MSO와 관리하의 시스코 애플리케이션 정책 인프라 컨트롤러(APIC) 기기의 API가 요구하는 인증을 수행하는 데 사용할 수 있다.  이 취약점은 특정 API 엔드포인트에서의 토큰 검증이 적절히 이뤄지지 못했기 때문에 발생한다. 시스코에 따르면, 이 취약점은 소프트웨어 3.0 릴리스를 구동하는 시스코 ACI MSO가 시스코 ASE에 배포된 경우에만 영향을 미친다.  두 번째로 위험 수준이 높은 경보는 ASE 자체에 대한 것이다. 시스코에 따르면, CVSS 척도상 전반적으로 9.8점에 달하는 취약점이 여러 개 존재한다.    해커는 이 취약점을 통해 컨테이너 실행이나 호스트 수준의 작업 호출을 할 수 있는 접근 권한을 획득할 수 있다. 이 취약점은 데이터 네트워크(Data Network)에서 구동되는 서비스에 대한 접근 제어가 충분하...

2021.02.25

시스코, 넥서스 스위치 보안 약점 경고

시스코 넥서스 NS-OS 소프트웨어가 도스(DOS) 공격을 만드는 데 악용될 수 있는 것으로 밝혀졌다.    시스코는 넥서스 핵심 데이터센터 스위치 고객에게 박스형 서비스 거부 공격에 노출될 수 있는 취약점을 해결해야 한다고 이야기하고 있다. 넥서스 NX-OS 소프트웨어에서 발견된 이 취약점은 CVE(Common Vulnerability Scoring System)에서 10점 만점에 8.6점을 획득할 정도로 ‘높은’ 위험 문제를 만든다. 시스코에 따르면, 이 취약점은 해당 장비가 로컬로 구성된 IP 주소로 향하는 IP-in-IP 패킷을 예기치 않게 캡슐화를 해제하고 처리하기 때문에 발생한다. IP-in-IP는 다른 IP 패킷 내에서 IP 패킷을 래핑하는 터널링 프로토콜이다. “악용에 성공하면 영향받은 장비가 예기치 않게 IP-in-IP 패킷의 캡슐을 해제하고 내부 IP 패킷을 전달할 수도 있다. 이로 인해 IP 패킷이 영향받은 장비에서 구성된 입력 액세스 제어 목록(ACL)이나 네트워크의 다른 곳에 정의된 기타 보안 경계를 우회할 수 있다. 특정 조건에서 익스플로잇으로 인해 네트워크 스택 프로세스가 충돌하고 여러 번 다시 시작돼 영향받은 장비가 다시 로드되고 도스 상태가 될 수 있다”라고 시스코는 경고했다 이 취약점은 VM웨어 v스피어용 넥서스 1000 가상 에지에서 넥서스 9000 시리즈에 이르는 다양한 넥서스 스위치에 영향을 준다. 시스코는 시스코 NX-OS 소프트웨어 장비 보안 가이드에서 권장하는 대로 필요한 관리 및 제어 플레인 트래픽만 영향받은 장비에 도달할 수 있도록 인프라 액세스 제어 목록(iACL)을 구성하는 해결책을 제시했다. “네트워크에서 합법적인 IP-in-IP 트래픽이 사용되지 않는 경우 고객은 iACL의 일부로 프로토콜 번호 4(IP-in-IP 패킷에 해당)를 가진 모든 IP 패킷을 명시적으로 거부할 수도 있다. 영향받은 장비로 향하는 IP-in-IP 트래픽을 삭제하기 위해 사용자 지정 CoPP(Contr...

취약점 도스 공격 dos 스위치 시스코 NX-OS CVE Common Vulnerability Scoring System CoPP Control-plane-Pocing 시스코 소프트웨어 체커 Cisco Software Checker

2020.06.03

시스코 넥서스 NS-OS 소프트웨어가 도스(DOS) 공격을 만드는 데 악용될 수 있는 것으로 밝혀졌다.    시스코는 넥서스 핵심 데이터센터 스위치 고객에게 박스형 서비스 거부 공격에 노출될 수 있는 취약점을 해결해야 한다고 이야기하고 있다. 넥서스 NX-OS 소프트웨어에서 발견된 이 취약점은 CVE(Common Vulnerability Scoring System)에서 10점 만점에 8.6점을 획득할 정도로 ‘높은’ 위험 문제를 만든다. 시스코에 따르면, 이 취약점은 해당 장비가 로컬로 구성된 IP 주소로 향하는 IP-in-IP 패킷을 예기치 않게 캡슐화를 해제하고 처리하기 때문에 발생한다. IP-in-IP는 다른 IP 패킷 내에서 IP 패킷을 래핑하는 터널링 프로토콜이다. “악용에 성공하면 영향받은 장비가 예기치 않게 IP-in-IP 패킷의 캡슐을 해제하고 내부 IP 패킷을 전달할 수도 있다. 이로 인해 IP 패킷이 영향받은 장비에서 구성된 입력 액세스 제어 목록(ACL)이나 네트워크의 다른 곳에 정의된 기타 보안 경계를 우회할 수 있다. 특정 조건에서 익스플로잇으로 인해 네트워크 스택 프로세스가 충돌하고 여러 번 다시 시작돼 영향받은 장비가 다시 로드되고 도스 상태가 될 수 있다”라고 시스코는 경고했다 이 취약점은 VM웨어 v스피어용 넥서스 1000 가상 에지에서 넥서스 9000 시리즈에 이르는 다양한 넥서스 스위치에 영향을 준다. 시스코는 시스코 NX-OS 소프트웨어 장비 보안 가이드에서 권장하는 대로 필요한 관리 및 제어 플레인 트래픽만 영향받은 장비에 도달할 수 있도록 인프라 액세스 제어 목록(iACL)을 구성하는 해결책을 제시했다. “네트워크에서 합법적인 IP-in-IP 트래픽이 사용되지 않는 경우 고객은 iACL의 일부로 프로토콜 번호 4(IP-in-IP 패킷에 해당)를 가진 모든 IP 패킷을 명시적으로 거부할 수도 있다. 영향받은 장비로 향하는 IP-in-IP 트래픽을 삭제하기 위해 사용자 지정 CoPP(Contr...

2020.06.03

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.9