개요
이달, Cisco는 실제 공격에 활발히 악용되고 있는 두 취약점 CVE-2023-20198, CVE-2023-20273에 대한 보안 권고를 발표하였다.
취약점은 Cisco IOS XE Software의 Web UI에서 발생한다.
CVE-2023-20198 취약점은 인증되지 않은 공격자가 가장 높은 수준의 접근 권한인 레벨 15 권한의 임의의 계정을 생성하여 시스템을 제어할 수 있으며, CVE-2023-20273 취약점은 명령어 주입을 수행하여 악의적인 내용을 파일 시스템에 쓸 수 있다. 각각 CVSS 점수 10.0/7.2를 할당받았다.
영향 받는 제품
Cisco IOS XE Software의 Web UI 기능이 활성화되어 있다면 영향을 받는다. Web UI는 다음 명령어를 통해 활성화된다.
ip http server
ip http secure-server
따라서 다음 명령어로 제품의 Web UI 활성화 여부를 확인할 수 있다.
show running-config | include ip http server|secure|active
예시)
Router# show running-config | include ip http server|secure|active |
위 명령어에 대한 결과가 하나 이상 나온다면, Web UI 기능이 활성화된 것으로 판단할 수 있다.
※ ip http server 명령이 존재하고 ip http active-session-modules none도 포함되어 있으면, HTTP를 통해 CVE-2023-20198 취약점을 악용할 수 없음
※ ip http secure-server 명령이 존재하고 ip http secure-active-session-modules none도 포함되어 있으면, HTTPS를 통해 CVE-2023-20198 취약점을 악용할 수 없음
완화 조치
1. 모든 인터넷 연결 시스템에서 HTTP 서버 기능을 비활성화
– HTTP 서버 사용 시 : no ip http server 명령어 적용
– HTTPS 서버 사용 시 : no ip http secure-server 명령어 적용
2. 서비스에 대한 액세스를 신뢰할 수 있는 네트워크로 제한
신뢰할 수 있는 네트워크(192.168.0.0/24)만 접근을 허용하는 액세스 리스트 예시)
! ip http access-class 75 ip http secure-server ! access-list 75 permit 192.168.0.0 0.0.0.255 access-list 75 deny any ! |
※ 최신 버전의 Cisco IOS XE에서 액세스 리스트를 적용하려면 ip http access-class ipv4 75 명령을 사용
※ Filter Traffic Destined to Cisco IOS XE Devices WebUI Using an Access List 참고
침해 지표
1. 시스템 로그에서 cisco_tac_admin, cisco_support 또는 네트워크 관리자에게 알려지지 않은 로컬 사용자가 있는지 확인한다.
%SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as {user} on line |
2. 시스템 로그에서 예상되는 파일 설치 작업과 관련이 없는 파일명이 있는지 확인한다.
%WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD {filename} |
3. 시스템 내 공격자와 상호작용을 위한 엔드포인트 정의 파일(Implant)의 존재 여부를 확인하기 위해 다음의 명령어를 실행한다.
curl -k -H “Authorization: 0ff4fbf0ecffa77ce8d3852a29263e263838e9bb” -X POST “https://{your_systemip}/webui/logoutconfirm.html?logon_hash=1″
명령어 실행 후, 응답으로 16진수 문자열이 반환되면 Implant가 존재하는 것으로 판단할 수 있다.
※ 위 명령어는 해당 시스템에 대한 액세스 권한이 있는 워크스테이션에서 실행되어야 함
보안 패치
Cisco는 10월 22일부터 일부 제품에 대해 보안 패치(Bug ID : CSCwh87343)를 제공하며 영향받는 다른 제품은 추후 제공될 예정이다.
베이스 릴리즈 |
Full IOS XE image 버전 [베이스 릴리즈 + CSCwh87343 수정] |
Routing/SDWAN | Switching | Wireless | IOT |
SP Access and Pre -Aggregation Router |
17.9.4 | 17.9.4a | 게시 됨 | 게시 됨 | 게시 됨 | 게시 됨 | 게시 됨 |
17.6.6 | 17.6.6a | 게시 됨 | 게시 됨 | 게시 됨 | 게시 됨 | 게시 됨 |
17.6.5 | 17.6.5a | 게시 됨 | N/A | N/A | N/A | N/A |
17.3.8 | 17.3.8a | 게시 됨 | 게시 됨 | 게시 됨 | 게시 됨 | 게시 됨 |
16.12.10 | 16.12.10a | N/A | 게시 됨 (Cat3850/3650 only) | N/A | N/A | N/A |
17.12.2 | 17.12.2 | 11-15 | 11-15 | 11-15 | 11-15 | 11-15 |
안랩 확인 내용 및 권고 사항
자사에서 한국 지역 IP 대상으로 10월 20일 시점 확인한 바로 총 794개의 서버 중 496개의 서버에서 Implant 파일이 존재하는 것으로 추정되었으며, 취약점 패치 이후인 10월 24일 재확인 한 결과 794개의 서버 중 411개의 서버에서 Implant 파일이 확인되고 있어 여전히 취약한 서버가 존재하는 것으로 보인다.
- 10월 20일 확인 내용 (취약점 패치 공개 전) : Implant 파일 존재하는 취약 대상 496개 추정 (총 794개 서버 대상 확인)
- 10월 22일 취약점 패치 공개
- 10월 24일 확인 내용 (취약점 패치 공개 후) : Implant 파일 존재하는 취약 대상 411개 추정 (총 794개 서버 대상 확인)
해당하는 제품을 사용 중이라면 패치를 적용하고, 즉시 패치를 적용할 수 없거나 아직 패치가 게시되지 않은 제품의 경우 완화 조치 적용할 것을 강력히 권장한다. 또한 취약점 패치가 되었더라도 이미 시스템이 손상되었을 가능성이 있기 때문에 침해 지표를 참고하여 점검해 볼 것을 권장하며 각별한 내부 점검이 필요하다.
참고 사이트
[1] Multiple Vulnerabilities in Cisco IOS XE Software Web UI Feature
[2] Software Fix Availability for Cisco IOS XE Software Web UI Privilege Escalation Vulnerability – CVE-2023-20198
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:조치 가이드