시스코, 각종 네트워크 제품과 소프트웨어에서 취약점 다수 패치

소프트웨어 정의 네트워크 솔루션에서는 9.8점짜리 취약점 나와
디도스, 원격 코드 실행, 권한 상승 등 다양한 공격 가능하게 해줘

[보안뉴스 문가용 기자] 시스코의 소프트웨어 정의 네트워크(SDN)용 소프트웨어에서 치명적인 취약점이 발견됐다. 이 취약점을 통해 인증을 받지 못한 공격자는 데이터센터 스위치에 접속해 통제권을 가져갈 수 있게 된다. 이 때 루트 사용자의 권한도 공격자에게 넘어갈 수 있게 된다고 한다. 시스코는 이 취약점에 대한 패치를 개발해 발표했다.

[이미지 = iclickart]

문제의 취약점은 CVE-2019-1804로 CVSS 점수로 9.8점을 받았다(10점 만점). 이는 시스코 넥서스 9000 시리즈 애플리케이션 중심 인프라 모드 스위치 소프트웨어(Cisco Nexus 9000 Series Application Centric Infrastructure(ACI) Mode Switch Software)에 존재한다. 기업들은 ACI를 사용해 자신의 인프라 전반에 걸쳐 제어 애플리케이션들을 구축하면서 일괄적인 정책들을 적용시킬 수 있게 된다. 이는 ‘이론상’ 보안성과 가용성을 높이는 방법 중 하나다.

하지만 시스코는 이 소프트웨어의 시큐어 셸(Secure Shell, SSH) 키 관리 기능에 디폴트 키 두 개를 쌍으로 구축해 두었다. 따라서 공격자가 이 디폴트 키 조합을 알게 된다면, 취약한 넥서스 9000 시리즈에 원격에서 접속할 수 있게 된다. 즉 정상 사용자로서 통제할 수 있게 된다는 것이다. “공격자는 그저 IPv6를 통해 SSH와 연결하고, 자신이 알고 있는 키들을 사용함으로써 이 취약점을 공략할 수 있게 됩니다. 하지만 IPv4를 통해서는 공격이 성립되지 않습니다.”

현재 넥서스 9000 시리즈 ACI 소프트웨어가 설치된 모든 장비들에는 이 취약점이 존재한다고 볼 수 있다. 특히 시스코 NX-OS 소프트웨어 1.41(1i) 이전 버전들 모두가 현재 취약한 상태라고 한다. 이를 보완하는 방법은 따로 없으며, 오로지 시스코의 패치를 적용하는 것뿐이다. 게다가 이 패치 자체도 완성된 최종 버전이 아니다.

그 외에도 시스코는 22개의 고위험군 오류들과 18개의 중간급 위험도를 가진 오류들도 같이 패치했다. 디도스 공격, 권한 상승, XSS 공격 등을 가능하게 해준다고 한다. “이 중에는 또 다른 SSH 관련 취약점인 CVE-2019-1859도 포함되어 있습니다. 시스코 소기업용 스위치(Cisco Small Business Switch) 소프트웨어에 있는 것으로, 공격자가 남용할 경우 클라이언트 사이드 인증 과정을 우회하고 비밀번호 인증 시스템으로 되돌릴 수 있게 해줍니다.”

이 취약점이 존재하는 이유는 오픈SSH가 인증 과정을 처리하는 부분에 있어 오류가 있기 때문이다. “공격자는 SSH를 통해 장비와의 연결을 시도함으로써 이 취약점을 공략할 수 있게 됩니다. 익스플로잇에 성공할 경우 공격자는 관리자급 사용자인 것처럼 환경설정에 접근할 수 있게 됩니다. 이 공격이 성공하려면 사용자가 디폴트 크리덴셜을 변경시키지 않았어야 합니다.”

그 외에도 주목할 만한 취약점에는 CVE-2019-1635가 있다. 시스코 VoIP 전화기들에 있는 것으로, 취약점 익스플로잇을 통해 장비를 마비시키는 게 가능하게 된다. “이 장비를 사용하는 기업들의 전화 업무를 완전히 마비시키는 게 가능하죠. 세션 개시 프로토콜(SIP)의 통화 처리 기능에서 발견되는 취약점이며, 시스코 IP 폰 7800 시리즈와 8800 시리즈가 특히 취약하다.

안타깝게도 전화기 장비 중 시스코 유니파이드 IP 8831 컨퍼런스 폰(Cisco United IP 8831 Conference Phone)에 대한 패치는 2019년 후반으로 계획되어 있다. 서드파티 통화 제어용(Third-Party Call Control) 시스코 유니파이드 IP 8831 컨퍼런스 폰에 대한 패치는 아예 계획에 없다.

시스코 어댑티브 시큐리티 어플라이언스(Cisco's Adaptive Security Appliance, ASA) 소프트웨어의 웹 기반 관리 인터페이스에서 발견된 CSRF 취약점인 CVE-2019-1713도 주목할 만하다. 이 취약점을 익스플로잇 할 경우 원격에서 승인되지 않은 공격자가 시스템을 침해할 수 있게 된다. “이렇게 될 경우 공격자가 높은 권한을 가지고 임의의 행동을 할 수 있게 됩니다.”

3줄 요약
1. 시스코, 치명적인 취약점 1개, 고위험군 취약점 22개, 중간급 취약점 18개 패치함.
2. 넥서스 9000 시리즈의 소프트웨어 정의 네트워크 솔루션에서 발견된 치명적인 취약점에 대한 패치는 현재 불완전한 상태.
3. 디도스 공격, 원격 코드 실행 공격, 권한 상승 공격 등 가능하게 해줌.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)