Offcanvas

보안 / 통신|네트워크

시스코 VPN의 원격 코드 실행 결함 위험도, "10점 만점에 10점"

2018.02.02 Ms. Smith   |  CSO
시스코 VPN에서 아주 심각한 원격 코드 실행 및 서비스 거부 버그가 발견됐다. 이 결함의 심각도는 10점 만점에 10점으로 평가된다.



시스코는 시스코 장치 내에서 실행하는 ASA(Adaptive Security Appliance) 소프트웨어의 치명적인 보안 결함에 대한 권고안을 발표했다. 이 취약점이 악용되면 원격 코드 실행과 서비스 거부가 발생할 수 있기 때문에 지금 바로 패치해야 한다.

이 결함(CVE-2018-0101)은 CVSS(Common Vulnerability Score System) 점수 중 가장 심각한 10점으로 평가됐다는 점을 고려한다면, 이보다 더 나빠질 순 없다. CVSS 10점으로 평가된 취약점은 원격으로 쉽게 악용될 수 있고, 인증이 필요하지 않음을 의미한다.

취약점을 지닌 시스코 제품
시스코 ASA를 실행하는 제품은 다음과 같은 10개의 제품군이다.
- 3000 Series ISA(Industrial Security Appliance)
- ASA 5500 Series
- ASA 5500-X 시리즈 차세대 방화벽(Next-Generation Firewalls)
- 시스코 카탈리스트 6500 시리즈 스위치 및 시스코 7600 시리즈 라우터용 ASA 서비스 모듈(Services Module)
- ASA 1000V 클라우드 파이어월(Cloud Firewall)
- ASAv(Adaptive Security Virtual Appliance)
- 파이어파워(Firepower) 2100 시리즈 시큐리티 어플라이언스(Security Appliance)
- 파이어파워 4110 시큐리티 어플라이언스
- 파이어파워 9300 ASA 시큐리티 모듈(Security Module)
- 파이어파워 FTD(Firepower Threat Defense) 소프트웨어

시스코 권고안에 따르면, 시스코 ASA(Adaptive Security Appliance) 소프트웨어의 SSL(Secure Sockets Layer) VPN 기능의 취약점으로 인해 인증받지 않은 원격 공격자가 영향을 받은 시스템을 리로드하거나 코드를 원격으로 실행할 수 있다.

결함을 악용하려면 WebVPN 활성화 전제
그러나 이 결함은 시스코 ASA를 실행하는 장치에서 WebVPN 기능이 활성화된 경우에만 악용될 수 있기 때문에 충분히 제어할 수 있다.

이 취약점은 시스코 ASA 장치에서 WebVPN 기능이 활성화되어 있을 때, 메모리 영역을 2번 사용하려는 시도로 인해 발생한다. 공격자는 영향을 받은 시스템의 WebVPN 구성 인터페이스에 여러 개의 XML 패킷을 보내 이 취약점을 악용할 수 있다. 이 익스플로잇은 공격자가 임의의 코드를 실행해 시스템을 완전히 제어하거나 영향을 받은 장치를 리로드하게 할 수 있게 한다.

이에 시스코는 WebVPN이 활성화됐는지 여부를 확인하기 위해 명령줄을 제공했다.

시스코 문서에 따르면, WebVPN은 안전한 VPN 터널을 설정하고 내부 웹사이트, MS OWA(Outlook Web Access), NT/액티브 디렉터리 파일 공유, MAPI, 이메일 프록시, POP3S, IMAP45, SMTPS와 같은 인터넷 상의 거의 모든 컴퓨터에서 웹 리소스와 웹 애플리케이션에 대한 접속을 제공한다.

WebVPN이 활성화되어 있는 지 확인한 후, 사용자는 실행중인 ASA 또는 FTD 소프트웨어 버전을 확인해야 한다. 시스코는 취약한 주요 ASA, FTD 릴리스 목록을 제공했다. 시스코는 해결 방법이 없으니 지금 바로 패치해야 한다고 말했다.

NCC 그룹 보안 연구원 세드릭 할브론은 이 취약점을 발견하고 이를 시스코에 보고했다. 할브론은 2월 2일 레콘 브뤼셀 컨퍼런스에서 자세한 내용을 이야기할 예정이다. 한편 시스코 PSIRT(Product Security Incident Response Team)는 이 버그를 악용하려는 어떤 시도도 발견하지 못했다고 전했다. editor@itworld.co.kr  
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.