Apache Struts 2 결점, Cisco 제품들 다수에 영향 미쳐

Apache Struts 2 Flaws Affect Multiple Cisco Products

Apache Struts의 취약점으로 인해 발생한 것으로 보이는 Equifax의 대규모 데이터 유출 사건 이후로, Cisco는 인기있는 Apache Struts2 웹 어플리케이션 프레임워크를 사용하는 자사 제품에 대한 조사를 시작했습니다.

Apache Struts는 Java 프로그래밍 언어로 웹 프로그램을 개발하기 위한 오픈소스 MVC 프레임워크이며, Lockheed Martin, Vodafone, Virgin Atlantic, IRS등을 포함한 포튠 100대 기업의 65%가 사용 중입니다.

하지만, 이 인기있는 오픈소스 소프트웨어 패키지에서 최근 원격 코드 실행 취약점 2개를 포함한 다수의 취악점이 발견 되었습니다. 이 중 하나로 인해 Equifax 사용자들 1.43억명의 개인 데이터가 유출이 된 것으로 보여집니다.

Digital Media Manager, MXE 3500 Series Media Experience Engines, Network Performance Analysis, Hosted Collaboration Solution for Contact Center, Unified Contact Center Enterprise를 포함한 Cisco 제품들 중 일부가 Apache Struts 결함들 다수에 취약한 것으로 나타났습니다.

Cisco, Apache Struts 취약점 사냥에 나서

또한 Cisco는 CVE-2017- 9805를 포함한 Scruts2에서 발견 된 새로운 취약점 4개를 대상으로 자사의 제품을 테스트하고 있습니다.

하지만, 지난 3월 활발히 악용 되었던 원격 코드 실행 버그 (CVE-2017- 5638)는 최근 진행되는 보안 감사에 포함 되지 않았습니다.

이번 Cisco의 보안 감사에 포함 된 취약점 3개 (CVE-2017- 9793, CVE-2017- 9804, CVE-2017- 9805)는 지난 9월 5일 Apache Struts 2.5.13에서 패치 되었습니다.

Cisco가 조사 중인 4번째 취약점인 CVE-2017-12611는 지난 9월 7일 Apache Struts 2.3.34와 함께 공개 및 패치 되었습니다. 이 취약점은 Apache Struts2 패키지의 Freemaker 태그 기능에 존재했으며, 악용 될 경우 승인 되지 않은 원격의 공격자가 영향을 받는 시스템에서 악성 코드를 실행시킬 수 있습니다.

Apache Struts 취약점, 서버 해킹 및 멀웨어 배포에 적극적으로 악용 돼

이들 중 가장 심각한 취약점인 CVE-2017-9805는 Struts REST 플러그인이 XML 페이로드를 Deserializing하는 동안 처리하는 방식으로 인해 나타나는 프로그래밍 버그입니다. 

이로 인해 원격의 승인 되지 않은 공격자가 취약한 버전의 Apache Struts2를 실행 중인 호스트에서 원격으로 코드를 실행하게 될 수 있습니다. 또한 Cisco의 Threat intelligence 회사인 Talos는 이 결함이 취약한 서버를 찾는데 적극적으로 활용 되고 있다고 밝혔습니다.

데이터 센터 보안 업체인 Imperva의 보안 연구원들은 최근 이 취약점(CVE-2017- 9805)을 악용하려는 공격 시도 수천 건을 탐지 및 차단하였습니다. 이 중 약 80%는 악성 페이로드를 전달하려고 시도하였습니다.

대부분의 공격은 중국에서 시작 되었으며, 중국의 전자 상거래 회사에서 등록한 IP 한 곳에서만 40% 이상의 요청이 발송 되었습니다. 호주, 미국, 브라질, 캐나다, 러시아, 유럽 등에서도 공격이 발생하였습니다.

나머지 두 가지 결점 중 하나인 CVE-2017- 9793은 Apache Struts의 REST 플러그인에 존재하며, XStream 라이브러리의 사용자 입력에 대한 충분하지 않은 인증 때문에 발생합니다.

이 취약점은 ‘보통’ 등급을 받았으며, 승인 되지 않은 원격의 공격자가 타겟 시스템에 DoS를 야기시킬 수 있게 됩니다.

마지막 취약점인 CVE-2017- 9804도 승인 되지 않은 원격의 공격자가 DoS를 야기시킬 수 있지만, Apache Struts의 URLValidator 기능에 존재합니다.

Cisco는 이 취약점들에 대해 WebEx Meetings Server, the Data Center Network Manager, Identity Services Engine (ISE), MXE 3500 Series Media Experience Engines, Cisco Prime 제품 몇 개, 음성 및 통합 커뮤니케이션용 제품들, 비디오 및 스트리밍 서비스를 포함한 자사 제품들 테스트를 진행하고 있습니다.

현재까지는 Cisco 제품들의 취약점 패치들은 공개 되지 않았지만, Cisco는 업데이트를 곧 발표할 예정이며 Cisco Bug Search Tool에서도 접근 가능할 것이라고 밝혔습니다.

이 프레임워크는 널리 사용 되고 있기 때문에, Apache Struts2를 사용하는 인프라를 사용하는 기업들은 이 취약점들을 점검해볼 필요가 있을 것입니다.

출처 :

http://thehackernews.com/2017/09/apache-struts- flaws-cisco.html