Cisco IOS XE 소프트웨어, 심각도 높은 결점 패치

Cisco IOS XE Software Receives Fix Against High-Severity Flaw

Cisco가 심각도 높은 CSRF(cross-site request forgery) 취약점을 수정하기 위해 IOS XE 소프트웨어의 업데이트 버전을 공개했습니다. 

데모 익스플로잇 코드 또한 찾아볼 수 있었습니다.

해커가 CSRF 취약점을 악용하면 피해자가 인증이 완료된 경우, 웹 페이지나 앱에서 원치 않은 행동을 실행하도록 강제할 수 있는 것으로 나타났습니다.

이 공격은 악성 링크를 통해 배포될 수 있으며, 로그인된 사용자와 동일한 권한으로 실행됩니다.

많은 Cisco IOS XE 버전들이 영향받아

CVE-2019-1904로 등록된 이 취약점은 Cisco IOS XE 소프트웨어 구 버전들에 영향을 미치며, 심각도 점수는 10점 만점에 8.8을 받았습니다. 

이 취약점은 제품의 웹 기반 사용자 인터페이스에 존재하며, 기기의 웹 UI에 대한 CSRF 보호가 부족하기 때문에 발생합니다. 

공격자는 해당 인터페이스 사용자가 악성 링크를 방문하도록 속여 해당 취약점을 악용할 수 있습니다.

이 버그를 성공적으로 악용할 경우 공격자는 영향을 받는 기기에서 임의 작업을 실행할 수 있습니다. 

하지만 해당 취약점을 악용하기 위해서는 'HTTP 서버' 기능이 활성화되어야 하는데, 해당 기능은 많은 버전에서 기본으로 설정되어 있지는 않습니다.

Cisco는 기기 업그레이드가 완료되기 전까지는 HTTP 서버 기능을 비활성화함으로써 위험을 완화시킬 수 있을 것이라 밝혔습니다.

HTTP 서버 기능을 비활성화하는 방법은 글로벌 설정 모드에서 "no ip http server" 또는 "no ip http secure-server" 명령어를 사용하는 것입니다.

 

http server와 http-secure 서버를 모두 사용 중일 경우, 위 두 명령어를 모두 사용해야 HTTP 서버 기능을 비활성화할 수 있습니다.

이 공격은 사용자가 로그인된 상태여야하며, 관리자가 악성 링크를 클릭하도록 속이는데 성공하면, 해커는 명령을 실행하거나 설정 수정 등 취약한 기기를 장악할 수 있습니다.

Cisco는 사용자의 IOS XE 버전이 CVE-2019-1904에 취약한지 확인할 수 있는 소프트웨어 확인 툴을 제공하고 있습니다.

이 취약점을 Cisco의 내부 보안 테스트 중 발견되었으며, 코드 공개 여부는 밝혀지지 않았습니다.

출처:

https://www.bleepingcomputer.com/news/security/cisco-ios-xe-software-receives-fix-against-high-severity-flaw/

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190612-iosxe-csrf