포스팅 내용

국내외 보안동향

해커들, 2018년 수정된 시스코 CVE-2018-0296 취약점 노려

Watch out, hackers are targeting CVE-2018-0296 Cisco fixed in 2018


전문가들이 해커가 Cisco ASA 및 Firepower Appliance를 공격하기 위해 CVE-2018-0296을 악용하고 있다고 밝혔습니다. 이 취약점은 인증되지 않은 공격자가 원격으로 악용할 수 있으며 디렉터리 접근 공격을 통해 민감 정보에 접근할 수 있도록 허용합니다. 악용에 성공할 경우 서비스 거부(DoS) 상태를 유발할 수도 있습니다.


“Cisco ASA(Adaptive Security Appliance)의 웹 인터페이스 내 취약점은 인증되지 않은 원격 공격자가 예기치 않은 재로드를 유발해 서비스 거부(DoS) 상태를 발생시킬 수 있도록 허용합니다.”


“특정 소프트웨어 릴리즈에서는 ASA가 재로드되지 않지만, 공격자는 디렉터리 접근 공격을 통해 인증 없이도 민감 정보를 열람할 수 있습니다.”


이 이슈가 발생하는 원인은 HTTP URL에서 입력 검증을 제대로 하지 않기 때문이며 공격자가 취약한 기기에 특별히 제작한 HTTP 요청을 보내는 방식으로 악용이 가능합니다.


이 취약점은 아래 시스코 제품에서 실행하는 Cisco ASA 소프트웨어와 FTD(Firepower Threat Defense)에 영향을 미칩니다.


3000 Series Industrial Security Appliance (ISA)

ASA 1000V Cloud Firewall

ASA 5500 Series Adaptive Security Appliances

ASA 5500-X Series Next-Generation Firewalls

ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers

Adaptive Security Virtual Appliance (ASAv)

Firepower 2100 Series Security Appliance

Firepower 4100 Series Security Appliance

Firepower 9300 ASA Security Module

FTD Virtual (FTDv)


이 취약점은 약 1년 전인 2018년 6월 초 수정되었습니다. 이 취약점을 활용한 많은 PoC 익스플로잇이 온라인에 공개된 상태였습니다.


이 취약점의 위험도는 ‘높음’ 이었지만, 최근 시스코는 이를 ‘치명적’으로 수정했습니다.


또한 시스코 탈로스(Cisco Talos)의 전문가들은 이 취약점을 악용한 사이버 공격이 급격히 증가하고 있다고 경고했습니다.


“최근 Cisco ASA(Adaptive Security Appliance) 및 Firepower Appliance의 특정 취약점을 악용하려 시도하는 공격이 급격히 증가한 것을 발견했습니다. CVE-2018-0296으로 등록된 이 취약점은 해당 기기의 웹 프레임워크에 존재하며 서비스 거부(DoS)를 유발할 수 있으며 디렉터리 접근 공격을 통한 정보 유출에 악용될 수 있습니다.”


“이것은 새로운 취약점은 아니지만, 악용 사례가 지속적으로 증가하고 있습니다. 따라서 사용자들은 이러한 위험에 대해 인지하고 있어야 합니다. 또한 곧 있을 휴일에는 모두들 쉴 예정이지만 공격자들은 쉬지 않습니다.”

관리자들은 아래 명령을 사용하여 사용 중인 기기가 취약한지 확인할 수 있습니다.


show asp table socket | include SSL|DTLS 


이 명령을 실행한 후 아무런 리스닝 소켓을 찾을 수 없을 경우 기기는 잠재적으로 위험한 상태라 볼 수 있습니다. 취약한 프로세스가 관리자로 실행되고 있는지 확인하려면 아래 명령을 실행하면 됩니다.


show processes | include Unicorn


만약 해당 프로세스가 실행 중인 것으로 표시되면, 취약점이 있을 가능성은 더욱 높아지며, 관리자는 실행 중인 코드 버전이 권고에 나열된 취약한 버전 목록에 포함되는지 확인하는 것이 좋습니다.

시스코는 이 취약점에 대한 보안 업데이트를 이미 공개한 상태입니다.




출처 :

https://securityaffairs.co/wordpress/95460/hacking/cve-2018-0296-cisco-asa-attacks.html

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180606-asaftd?



티스토리 방명록 작성
name password homepage