Offcanvas

보안 / 통신|네트워크

"즉시 패치 필요"··· 시스코, '심각' 등급 취약점 3 가지 발표

2021.02.25 Michael Cooney  |  Network World
시스코가 자사의 고급 소프트웨어 시스템인 애플리케이션 중심 인프라(ACI), 애플리케이션 서비스 엔진(ASE), NX-OS 운영체제용 패치를 발표했다. 

시스코가 자사의 고급 소프트웨어 시스템을 위해 ‘심각’ 등급에 해당하는 보안 경보 3가지를 발표했다. 그중 2 가지는 ASE의 구현과 관련된 것이며, 1가지는 NX-OS 운영체제에 대한 것이다. 
 
ⓒGetty Images Bank

위험 수준이 가장 높은 경보는 ASE에 설치되는 ACI 멀티사이트 오케스트레이터(MSO)에 관한 것이다. 공통 취약점 등급 시스템(CVSS)상 10점 만점 중 10점에 해당한다. ACI MSO는 고객이 시스코 애플리케이션 정책 인프라 컨트롤러 기반의 패브릭 전반에 걸친 애플리케이션 접근 정책을 제어할 수 있는 도구다. 

보안 경보에 따르면, 원거리에 있는 정체불명의 해커는 ASE에 설치된 ACI MSO의 API 엔드포인트 속 취약점을 이용해 공격 대상 기기가 요구하는 인증을 우회적으로 수행할 수 있다. 탈취에 성공할 경우 해커는 관리자 수준의 권한이 있는 토큰을 받는다. 이 토큰은 공격 대상 MSO와 관리하의 시스코 애플리케이션 정책 인프라 컨트롤러(APIC) 기기의 API가 요구하는 인증을 수행하는 데 사용할 수 있다. 

이 취약점은 특정 API 엔드포인트에서의 토큰 검증이 적절히 이뤄지지 못했기 때문에 발생한다. 시스코에 따르면, 이 취약점은 소프트웨어 3.0 릴리스를 구동하는 시스코 ACI MSO가 시스코 ASE에 배포된 경우에만 영향을 미친다. 

두 번째로 위험 수준이 높은 경보는 ASE 자체에 대한 것이다. 시스코에 따르면, CVSS 척도상 전반적으로 9.8점에 달하는 취약점이 여러 개 존재한다. 
 
  • 해커는 이 취약점을 통해 컨테이너 실행이나 호스트 수준의 작업 호출을 할 수 있는 접근 권한을 획득할 수 있다. 이 취약점은 데이터 네트워크(Data Network)에서 구동되는 서비스에 대한 접근 제어가 충분하지 못한 탓에 존재한다. 해커는 정교하게 제작된 TCP 요청을 특정 서비스에 보냄으로써 이 취약점을 악용할 수 있다고 시스코는 설명했다. 
   
  • 원거리에 있는 정체불명의 해커는 이 취약점을 통해 공격 대상 기기의 특정 API에 액세스할 수 있다. 이 취약점을 악용하는 데 성공한 해커는 장치별로 정보를 습득하고, 분리된 볼륨에 기술 지원 파일을 생성하고, 제한적으로 구성 변경을 수행할 수 있다. 이 취약점은 데이터 네트워크에서 구동되는 API에 대한 접근 제어가 충분하지 못한 탓에 존재한다. 해커는 정교하게 제작된 HTTP 요청을 API에 보내 해당 취약점을 악용할 수 있다. 탈취에 성공한 해커는 취약점을 통해 장치별로 정보를 습득하고, 분리된 볼륨에 기술 지원 파일을 생성하고, 제한적으로 구성 변경을 수행할 수 있다고 시스코는 설명했다.

10점 만점에 9.8점의 위험 수준을 기록한 마지막 경보는 시스코 넥서스 스위치용 NS-OX 운영체제에 대한 것이다. 시스코에 따르면, 시스코 NX-OS를 실행하는 독립형 NX-OS 모드에서, 시스코 넥서스 3000 시리즈 스위치 및 시스코 넥서스 9000 시리즈 스위치용 내부 파일 관리 서비스를 구현하는 과정에서 발생한 노출 지점을 통해 원거리에 있는 정체불명의 해커가 기기에 루트 권한으로 임시파일을 생성하거나, 삭제하거나, 덮어쓸 수 있다. 

시스코는 “TCP 포트 9075이 외부 연결 요청을 수신하고 응답하도록 잘못 구성된 탓에 취약점이 생겼다”라고 밝혔다. 

"해커는 정교하게 제작된 TCP 패킷을 TCP 포트 9075의 로컬 인터페이스상에 구성된 IP 주소로 보내 이 취약점을 악용할 수 있다. 탈취에 성공한 해커는 장치 구성과 관련된 민감한 파일을 포함해 임의 파일을 생성하거나, 삭제하거나 덮어쓸 수 있다”라고 시스코는 말했다. 이어 “예컨대, 해커는 장치 관리자가 알지 못하는 사이에 사용자 계정을 추가할 수 있다”라고 덧붙였다. 

시스코는 주요 취약점을 해결하는 무료 소프트웨어 업데이트를 발표했으며, 더 많은 정보는 이곳에서 찾아볼 것을 권장한다. 

그 외 NS-OX 및 넥서스 스위치 포트폴리오와 관련하여 심각도가 비교적 덜한 경보도 여럿 발표됐다. 여기에는 시스코 NX-OS 소프트웨어의 NX-API 기능에 존재하는 취약점을 통해, 원거리에 있는 정체불명의 해커가 공격 영향권 시스템상에서 사이트 간 요청 위조(CSRF) 공격을 수행할 수 있음을 설명하는 내용도 포함돼 있다. 탈취에 성공한 해커는 공격 대상 사용자가 가진 수준의 권한을 이용해 임의의 작업을 수행할 수 있다. 시스코에 따르면, 이 해커는 장치 구성을 보고 수정할 수 있다. 

또 다른 경보는 ACI 모드에서 시스코 넥서스 9000 시리즈 패브릭 스위치의 패브릭 인프라 VLAN 연결 설정 과정에 내재한 취약점에 관한 것이다. 해커는 이 취약점을 통해 정체불명의 인접한 해커가 보안 유효성 검사를 우회하고 권한이 없는 서버를 인프라 VLAN에 연결할 수 있다. 이 연결 상태에서 해커는 시스코 APIC 서비스에 무허가로 접속하거나 다른 호스트 엔드 포인트에 참여할 수 있다고 시스코는 설명했다. 

시스코는 무료 소프트웨어가 이러한 문제를 해결하기 위한 것이라고 밝혔다. ciokr@idg.co.kr 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.