시스코의 네트워크 장비에서 발견된 취약점, 실제 공격 받는 중

ASA와 FTD라는 소프트웨어 설치된 네트워크 장비들, CVE-2020-3452의 영향 있어
민감한 정보에 마음껏 접근할 수 있게 해주는 취약점...최신 버전 적용해야 안전

[보안뉴스 문가용 기자] 시스코의 네트워크 보안 제품에서 발견된 심각한 취약점이 실제 해킹 공격에 활용되고 있다는 경고가 나왔다. 이 취약점은 CVE-2020-3452로, CVSS 기준 7.5점을 받았고, 패치는 지난 주 수요일부터 배포되기 시작했다. 하지만 아직 적용되지 않은 사례가 많아 공격자들이 적극 익스플로잇을 실시하고 있다는 소식이다.

[이미지 = utoimage]

이 취약점의 영향이 특히 큰 곳은 파이어파워 스레트 디펜스(Firepower Threat Defense, FTD)라는 소프트웨어의 웹 서비스 인터페이스, 어댑티브 시큐리티 어플라이언스(Adaptive Security Appliance, ASA) 소프트웨어 및 ASA 기반 네트워크 장비들의 OS다. 보안 업체 라피드7(Rapid7)이 조사한 바에 따르면 현재 인터넷에 취약한 채 노출된 ASA 및 FTD 장비들이 8만 5천 대가 넘으며, 이 중 포춘 500대 기업의 네트워크에서 발견되는 장비가 398개라고 한다.

오류가 발생하는 이유는 HTTP 요청을 처리할 때 URL 입력 값을 제대로 확인하지 않기 때문이라고 한다. 이 취약점을 악용할 경우 공격자들은 디렉토리 변경 공격을 실시할 수 있게 되고, 이를 통해 접근이 금지된 디렉토리에 접근해 웹 서버의 루트 디렉토리 바깥에서 명령을 실행할 수 있게 된다. 이런 공격 방법에 대한 개념증명 코드가 패치 발표 직후 공개된 바 있다. 발표한 자는 보안 전문가인 아메디 아불엘라(Ahmed Aboul-Ela)였다.

이 개념증명용 익스플로잇을 통해 공격자가 다음과 같은 민감한 파일들에 접근할 수 있다는 것이 증명됐다.
1) WebVPN 환경설정 파일
2) 북마크(즐겨찾기 기록)
3) 웹 쿠키
4) 웹 콘텐츠 일부
5) HTTP URL

시스코에 의하면 패치되기 전의 취약한 버전의 ASA 소프트웨어나 FTD 소프트웨어가 설치된 장비들이 현재 위험한데, 그 중에서도 애니코넥트(AnyConnect)나 웹VPN 설정이 되어 있을 때가 특히 위험하다고 경고했다.

보안 업체 라피드7의 보안 전문가들은 “패치가 발표되고 나서 지금까지 리부트 된(그러므로 패치가 적용되었을 가능성이 높은) ASA 혹은 FTD 장비들은 전체의 10% 정도밖에 되지 않는다”고 조사 결과를 발표했다. “그나마 다른 이유로 장비 리부트가 이뤄졌다면, 패치 비율은 더 낮을 것”이라는 것도 유추가 가능하다. 포춘 500대 기업에서 발견된 취약한 장비 398개 중 리부트 된 건 27개뿐이었다.

전문가들은 취약한 ASA와 FTD 제품들은 최대한 빨리 패치해야 할 것을 권장한다. 그래야 공격자들이 해당 장비들에 저장되어 있는 민감한 정보를 훔쳐갈 가능성이 낮아지기 때문이라고 한다. 민감한 정보를 훔치면, 공격자들은 해당 정보를 가지고 정교한 피싱 공격 등 추가 공격을 이어갈 수 있게 된다.

“시스코 측은 이미 모든 취약한 버전들에 대한 패치를 배포했습니다. ASA 소프트웨어 9.5 및 이전 버전들, 9.7 버전과 FTD 소프트웨어 6.22 버전은 모두 소프트웨어 지원 시기가 지났습니다. 최신 버전을 다운로드 받고 적용함으로써 안전하게 소프트웨어를 사용할 필요가 있습니다.” 라피드7의 설명이다.

3줄 요약
1. 시스코의 네트워크 장비들에 설치되는 소프트웨어에서 취약점 발견됨.
2. 패치가 발표된 건 지난 주 수요일인데, 1주일 지나도록 10% 정도만 패치 됨.
3. 개념증명까지 나온 마당이라, 현재 해커들의 실제 익스플로잇 활발함.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)