2020-08-10 08:50 (월)
시스코 디스커버리 프로토콜서 발생하는 5가지 취약점…사용 기업에 심각한 위협
상태바
시스코 디스커버리 프로토콜서 발생하는 5가지 취약점…사용 기업에 심각한 위협
  • 페소아 기자
  • 승인 2020.02.06 13:21
이 기사를 공유합니다

사이버 보안 회사 아미스(Armis)의 보안 연구원들은 오늘날 널리 사용되고 있는 시스코 디스커버리 프로토콜(Cisco Discovery Protocol)에서 발생하는 5가지 취약점에 대한 세부 정보를 공개하며 CDPwn으로 명명했다.

이는 시스코 장치가 멀티 캐스트 메시지(로컬 네트워크 내부에 배포됨)를 통해 서로 정보를 공유할 수 있도록 하는 시스코 프로토콜인 CDP에 영향을 미친다.

CDP 프로토콜은 대부분의 시스코 제품에서 구현되며 90년대 중반부터 사용되고 있다. 인터넷에 노출되지 않고 로컬 네트워크에서만 작동하기 때문에 잘 알려지지 않은 프로토콜이다.

오늘 발표된 보고서에서 아미스는 CDP 프로토콜이 5가지 취약점의 영향을 받았으며 그 중 4가지가 원격 코드 실행, 다섯 번째는 서비스 거부 공격이 가능한 취약점이다.

좋은 점은 인터넷을 통해 공격을 할 수 없다는 것이다. 위에서 설명한 것처럼 CDP 프로토콜은 로컬 네트워크 내부의 데이터 링크 계층에서만 작동하며 대부분의 인터넷 공격이 발생하는 장치의 WAN 인터페이스에는 노출되지 않는다. 이를 악용하기 위해서는 공격자들은 먼저 로컬 네트워크 내부에 발판이 필요하다고 아미스의 연구부서 부사장 벤 세리(Ben Seri)는 설명했다.

진입 지점은 IoT 장치 등 모든 곳이 될 수 있다. 해커는 이 진입 장치를 이용해 로컬 네트워크 내에서 잘못된 CDP 메시지를 브로드 캐스트하고 시스코 장비를 장악할 수 있다. 여기서 주요 대상은 회사의 전체 네트워크에 대한 키를 보유하고 기본적으로 활성화된 상태로 제공되는 시스코 라우터, 스위치, 방화벽이다.

인터넷에서 기업의 보안 네트워크에 원격으로 진입하는데 사용할 수 없지만 CDPwn 취약점은 초기 액세스를 확대하고, 라우터 및 스위치와 같은 주요 지점을 장악하여 네트워크를 분리상태에서 벗어나게 해 네트워크 내부의 다른 장치를 공격할 수 있다.

그러나 CDP는 VoIP 전화기나 IP 카메라와 같은 다른 시스코 제품 내에서도 기본적으로 제공되고 활성화된다. 아미스는 CDPwn공격이 이 장치들에 대해서도 사용될 수 있다고 말했다. 공격자는 CDPwn을 사용해 전화 및 보안 카메라와 같은 취약한 장비를 장악하고, 멀웨어를 설치하고, 데이터를 유출하거나 전화 및 비디오를 도청할 수 있다.

아미스에 따르면 CDPwn은 IOS XR 운영체제를 실행하는 모든 시스코 라우터, 모든 넥서스(Nexus) 스위치, 시스코 파이어파워(Firepower) 방화벽, 시스코 NCS 시스템, 모든 시스코 8000 IP 카메라 및 모든 시스코 7800 및 8800 VoIP 전화에 영향을 미친다.

"불행히도 우리가 발견한 대부분의 CDPwn 원격코드실행 취약점은 단순한 힙 또는 스택 오버 플로우 취약점이므로 익스플로잇이 가능하며 RCE 데모를 만들어낼 수 있었다. 취약한 일부 장치에는 이러한 오버플로우를 악용할 수 없도록 일부 완화 기능이 있지만 불행히도 이러한 완화 기능은 부분적이고 우회될 수 있다."라고 세리는 설명했다.

시스코는 오늘 보안 웹 포털에서 패치를 배포할 것으로 생각된다. CDPwn 취약점 목록은 다음과 같다.

Cisco FXOS, IOS XR, NX-OS 소프트웨어 CDP 서비스 거부 취약점(CVE-2020-3120)

Cisco NX-OS 소프트웨어 CDP 원격코드실행 취약점(CVE-2020-3119)

Cisco IOS XR 소프트웨어 CDP 포맷스트링 취약점(CVE-2020-3118)

Cisco IP Phone 원격코드실행 및 서비스 거부 취약점(CVE-2020-3111)

Cisco Video Surveillance 8000 시리즈 IP 카메라 CDP 원격코드실행 및 서비스 거부 취약점(CVE-2020-3110)

그러나 시스템 관리자가 패치를 제공하는 즉시 패치를 적용할 수 없는 상황도 있다. 이런 경우 CDP를 비활성화해 일시적으로 완화할 수도 있다.

세리는 "일부 기업 사용자에게는 CDP를 비활성화하는 것이 불가능할 수 있으므로 다음으로 최선의 방법은 비정상적인 활동을 모니터링하고 식별하기 위해 장치 동작에 대한 가시성을 확보하는 것이다. 하지만 항상 최상의 솔루션은 항상 가능한 빠른 패치를 하는 것이다"라고 설명했다.

★정보보안 대표 미디어 데일리시큐!★