작년에 발견된 시스코 장비 내 취약점, 아직도 적극 악용된다

시스코 ASA와 파이어파워 어플라이언스에서 발견된 취약점, 작년에 이미 패치
검색이 간단한 취약점이기 때문일까...공격자들의 활용도는 계속해서 높아지고

[보안뉴스 문가용 기자] 작년 시스코의 어댑티브 시큐리티 어플라이언스(Adaptive Security Appliance, ASA)와 파이어파워 어플라이언스(Firepower Appliance) 제품에서 취약점이 발견됐고 패치됐다. 하지만 시스코는 공격자들이 아직도 이 취약점을 익스플로잇 하고 있다고 경고했다.

[이미지 = iclickart]

문제의 취약점은 CVE-2018-0296으로, 원격에 있으면서 승인되지 않은 공격자가 디렉토리 직접 참조 공격(directory traversal)을 통해 민감한 정보에 접속할 수 있게 된다고 한다. 경우에 따라서 디도스 공격에 활용될 수도 있다.

이 취약점이 패치된 건 2018년 6월 초의 일이다. 그런데 몇 주 지나지 않아 이 취약점을 이용한 디도스 공격이 발견되기 시작했다. 그러더니 몇 가지 개념증명용 익스플로잇들이 공개되기도 했다.

시스코는 처음 CVE-2018-0296을 분류할 때 ‘고위험군’으로 넣었다. 하지만 최근 더 많은 공격들이 이어지고 있다는 것을 파악하고, 이를 ‘치명적 위험군’으로 격상했다. 그러면서 관련 보안 권고 사항도 업데이트했다.

지난 주 시스코의 탈로스(Talos) 팀은 블로그 포스트를 통해 “현재 CVE-2018-0296을 통한 공격이 오히려 증가 중에 있다”고 알리며, “특히 요 몇 주 간 공격자들의 왕성한 익스플로잇이 발견됐다”고 고객들에게 공개했다.

“CVE-2018-0296은 새로운 취약점이 아닙니다. 하지만 익스플로잇은 시간이 지남에 따라 증가하고 있습니다. 고객들은 이를 반드시 인지하셔야 디도스 공격이나 의도치 않은 정보 노출 현상을 막을 수 있을 것입니다. 특히 연말연시에 공격자들의 활동이 늘어난다는 것에도 유의하시기 바랍니다.”

CVE-2018-0296의 인기가 식지 않는 데에는 여러 가지 이유가 있지만, “쇼단과 구글 등 검색엔진을 통해 취약한 장비를 찾아내는 게 대단히 쉽다”는 것이 가장 클 것으로 예상된다.

올해 미국 전력 시스템에서 발생한 사이버 공격에 CVE-2018-0296 익스플로잇이 사용되기도 했다. 이 공격 때문에 미국 일부 지역의 전력 공급이 중단되기도 했었다.

3줄 요약
1. 시스코의 ASA와 파이어파워 어플라이언스에서 발견된 취약점, 작년에 패치됨.
2. 하지만 이 취약점을 통한 공격이 오히려 거세지고 있음.
3. 시스코는 경고문을 발표하며 취약점의 위험도를 1단계 격상시킴.
[국제부 문가용 기자(globoan@boannews.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)