2024-03-29 04:00 (금)
공격자, 아직 패치되지 않은 시스코 라우터 스캔
상태바
공격자, 아직 패치되지 않은 시스코 라우터 스캔
  • 페소아 기자
  • 승인 2019.01.29 14:39
이 기사를 공유합니다

cisco-6.jpg
시스코 시스템즈는 지난주 24개의 취약점에 대한 보안 권고문을 발표했다. 여기에는 스몰 비지니스(Small Business) RV320와 RV325 라우터에 존재하는 2개의 심각한 결함이 포함되어 있으며, 공격자가 이 취약점의 공개된 PoC 코드를 이용해 이미 공격을 시도하고 있는 것으로 보인다. 따라서 장치 관리자는 라우터의 웹 기반 관리 인터페이스 내에 있는 두가지 결함에 대한 시스코 패치를 즉시 다운로드 하는 것이 좋다.

첫번째, CVE-2019-1652는 사용자 입력에 대한 부적절한 유효성 검사로 인해 발생하는 명령 주입 취약점이다. 버전 1.4.2.15~1.4.2.19 사이의 펌웨어를 실행하는 라우터가 이 버그에 취약하며, 관리자 권한을 가진 인증된 원격 공격자가 기본 리눅스 쉘에서 루트 권한으로 임의의 명령을 실행할 수 있게 한다.

두번째 결함인 CVE-2019-1653은 1.4.2.15~1.4.2.17 버전의 펌웨어에 영향을 미친다.이 취약점으로 인해 인증되지 않은 원격 공격자는 URL에 대한 부적절한 접근 제어로 인해 웹기반 인터페이스에서 라우터 구성 및 진단 정보 등 중요 정보를 검색할 수 있다.

이 취약점은 독일의 RedTeam Pentesting Gmbh의 연구원에 의해 발견되었으며, 시스코가 권고문을 발표한 후 깃허브(GitHub)에 대한 악용사례를 발표했다. 이 익스플로잇들은 초기 검색과 설정 덤프 후 취약한 라우터에서 원격 코드 실행을 하기 위해 동시에 사용될 수 있다.

일련의 트윗과 블로그 포스트에서 배드 패킷 보고서(Bad Packets Report)의 수석 연구원인 트로이 멀취(Troy Mursch)는 “2019년 1월 25일 금요일,허니팟을 통해 여러 호스트로부터 시스코 스몰 비지니스 RV320 및 RV325 라우터를 대상으로 스캔 활동이 탐지되었다. 이 스캔은 인증되지 않은 원격 사용자가 장치 구성 설정의 전체 덤프를 얻을 수 있는 경로인 /cgi-in/config.exp에 대한 GET 요청으로 구성되어 있다.여기에는 관리자 자격 증명도 포함되지만, 암호는 해쉬화되어 있다”라고 멀쉬는 블로그 게시물에서 설명했다.

배드 패킷(Bad Packets) 보고서에 따르면 15,309개의 고유한 IPv4 호스트를 검색한 결과 9,657개가 CVE-2019-1653의 영향을 받기 쉬운 것으로 나타났다. 이들은 모두 122국에서 발견되었으며 대부분은 미국에 있었다.

시스코가 발표한 24개의 취약점 중 SD-WAN 솔루션에서 발견된 심각한 버퍼오버플로우취약점도 포함되어 있다. 인증된 공격자가 이 취약점을 사용해 vContainer의 부적절한 경계 검사로 인해 서비스 거부 상태가 발생시킬 수 있고 루트 사용자로 임의 코드를 실행할 수 있다. 이 문제는 18.4.0 버전에서 패치되었다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★