NSA 해킹(?) 불똥 튄 보안업체, 취약점 발견과 패치 ‘줄줄’

입력 : 2016-08-20 23:55

포티넷과 시스코 제품군, 연이어 취약점 발견과 대응
시스코 ASA 소프트웨어 취약점, 보안 업데이트 아직 발표 안돼

[보안뉴스 권준] 셰도우 브로커스(Shadows Brokers)라는 해킹 단체가 美 국가안보국(NSA)를 해킹했다고 주장하며, 공개한 해킹 툴들로 인해 시스코와 포티넷을 비롯한 네트워크·보안 업계는 물론 관련 제품군 사용자들에게도 불똥이 튀고 있다.


공개된 자료와 해킹 툴들을 분석한 보안전문가들은 해당 자료들의 원 출처가 대단한 기술력을 보유한 해커조직인 이퀘이젼 그룹일 가능성이 높다고 밝히고 있고, 이퀘이전 그룹은 NSA가 운영 또는 지원하는 해커조직이라는 게 대체적인 관측이다.

더욱이 공개된 툴들로 시스코, 포티넷. 주니퍼 등 네트워크 및 보안 제품군들의 해킹이 가능한 것으로 알려지면서 해당 업체들의 취약점 패치 소식도 이어지고 있다.

먼저 포티넷의 포티가드 랩은 해커조직 셰도우 브로커스가 공개한 포티넷 네트워크 장비의 원격코드 실행 취약점을 해결한 보안 업데이트를 발표했다.

이번 취약점은 공격자가 Cookie Parser Buffer Over Flow 취약점을 이용해 조작된 HTTP를 요청함으로써 원격코드 실행이 가능한 취약점으로, FortGate(FOS) 4.3.8 및 이전 버전, 4.2.12 및 이전 버전, 4.1.10 및 이전 버전 등 영향 받는 소프트웨어의 사용자는 최신 버전으로 업데이트가 필요하다.

이에 따라 영향 받는 소프트웨어를 사용하는 경우 5.x 버전을 설치하고, 5.x가 호환되지 않는 장비는 4.3.9 버전을 설치해야 하며, 웹 인터페이스에 인가된 IP만 접근하도록 접근통제가 필요하다. 보다 자세한 사항은 http://fortiguard.com/advisory/FG-IR-16-023를 참고하면 된다.

이와 함께 시스코 사도 셰도우 브로커스가 공개한 ASA 소프트웨어의 취약점에 대한 각별한 주의를 권고했다. ASA(Adaptive Security Appliance) 소프트웨어는 시스코에서 제작한 네트워크 보안 플랫폼이다.

이번 취약점은 Cisco ASA 소프트웨어의 SNMP에서 발생되는 버퍼 오버플로우를 통해 원격코드 실행이 가능한 취약점(CVE-2016-6366)으로, 공격자는 취약점에 영향 받는 네트워크 장비에 원격코드 실행 및 서비스 거부 등의 피해를 발생시킬 수 있다.

해당 취약점에 영향을 받는 제품은 다음과 같다.
- Cisco ASA 5500 Series Adaptive Security Appliances
- Cisco ASA 5500-X Series Next-Generation Firewalls
- Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
- Cisco ASA 1000V Cloud Firewall
- Cisco Adaptive Security Virtual Appliance(ASAv)
- Cisco Firepower 9300 ASA Security Module
- Cisco PIX Firewalls
- Cisco Firewall Services Module(FWSM)

더욱 큰 문제는 현재 해당 취약점에 대한 보안 업데이트가 아직 발표되지 않았다는 점이다. 이로 인해 패치가 발표될 때까지는 SNMP 서비스가 불필요할 경우 서비스를 중지하는 것이 좋고, 취약점에 의한 피해를 줄이기 위해서는 SNMP Community string을 유추하기 어렵게 변경해 사용할 것을 권고했다.

특히, public, private 등 기본값 사용을 금지하고, 인가된 IP에서만 SNMP 서비스를 이용할 수 있도록 접근통제(ACL) 설정이 요구된다는 설명이다. 관련 내용은 https://blogs.cisco.com/security/shadow-brokers를 참조하면 되며, 해당 취약점에 대한 보안 업데이트가 나오는 대로 추가 공지될 예정이다.

이번 포티넷과 시스코 사의 보안 업데이트와 관련한 보다 구체적인 사항은 한국인터넷진흥원 인터넷침해대응센터(국번 없이 118)로 문의하면 된다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

권준기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  북 해커 조직 APT43, 드롭박스 악용한 ...

• 2

  제로트러스트 도입·확산 시범사업, 어떻게 진...

• 3

  ‘2024년도 ICT 중소기업 정보보호 지원...

• 4

  웹3 게임 개발자들, 암호화폐 노리는 피싱 ...

• 5

  이반티 보안 취약점 악용한 5개 공격그룹 ...

• 1

  [퀴즈 이·보·소] 거듭되는 취약점에 대표가...

• 2

  메모리 안전 언어로 떠오르는 러스트의 라이브...

• 3

  주식투자 정보사이트 ‘아이투자’, 해킹으로 ...

• 4

  웰시투자그룹, 자사 사칭 금전 사기 피해 주...

• 5

  리멤버, 회사 사칭 ‘계정에 대한 탈퇴 요청...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 3

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 4

  2023년 가장 주목받은 사이버 위협 커뮤니...

• 5

  NSA의 제로트러스트 가이드라인, CISO는...