Cisco ASA 및 Firepower 보안 소프트웨어에서 심각도 높은 취약점 12개 발견, 패치 필요

Cisco: These 12 high-severity bugs in ASA and Firepower security software need patching

Cisco가 ASA(Adaptive Security Appliance) FTD(Firepower Threat Defense) 소프트웨어에 존재하는 심각도 높은 취약점 12개를 공개했습니다.

이 업데이트는 서비스 거부(DoS) 이슈 8개, 정보 공개 취약점 1개, 메모리 유출 결함 1개, 디렉터리 접근 취약점 1개, 인증 우회 취약점 1개를 패치합니다.

이 중 CVSS 점수가 9.1로 가장 높은 취약점은 ASA와 FTD 소프트웨어에 존재하는 디렉터리 접근 취약점으로 CVE-2020-3187로 등록되었습니다.

공격자는 디렉터리 접근 문자 시퀀스를 포함하는 특수 HTTP 요청을 보내는 방식으로 이 취약점을 악용하여 시스템의 파일을 열람하거나 삭제할 수 있습니다.

그러나 Cisco는 해당 취약점이 악용되더라도 기기가 재시작되면 삭제되었던 모든 파일이 복구된다고 밝혔습니다.

또한 공격자는 기기가 WebVPN 또는 AnyConnect 기능으로 구성되어 있을 경우, 활성화된 웹 서비스 파일 시스템만을 열람 및 삭제할 수 있는 것으로 나타났습니다.

공격자는 ASA 기기로 전송되는 KDC(Key Distribute Center) 서버 응답을 스푸핑하여 이 취약점을 악용 가능합니다. 

KDC는 이 악성 응답을 인증하지 않았을 것이나, 공격이 성공하면 공격자는 Kerberos 인증을 우회할 수 있습니다.

이 문제는 VPN 또는 로컬 기기 액세스에 Kerberos 인증이 구성된 ASA에 영향을 미칩니다.

Cisco는 패치된 업그레이드를 설치한 후에도 관리자가 취약점을 수정하기 위해 구성을 변경해야 한다고 밝혔습니다. 

명령줄 인터페이스 명령 'alidate-kdc' 및 'aaa kerberos import-keytab'이 구성되어 있을 경우 ASA 기기는 여전히 악용이 가능합니다.

CVE-2020-3195로 등록된 메모리 유출 이슈는 ASA와 FTD에서 OSPF(Open Shortest Path First) 패킷 일부를 잘못 처리하여 발생하며, 공격자는 특수 제작한 OSPF 패킷을 통해 취약한 기기에서 악용이 가능합니다. 

그다음, 공격자는 기기가 메모리를 리로드할 때까지 메모리를 계속 사용하여 서비스 거부(DoS)를 발생시키는 것이 가능합니다.

이 취약점은 LLS(Link-Local Signaling) 블록을 처리하는 기능을 포함하여 OSPF 라우팅을 지원하도록 설정된 ASA 또는 FTD에 존재합니다. 

Cisco는 LLS 블록 처리가 기본으로 활성화되어있다고 밝혔습니다.

IPv6 프로토콜을 사용하는 DNS로 구성된 ASA와 FTD 소프트웨어 또한 서비스 거부 취약점(CVE-2020-3191)이 존재합니다.

크리덴셜이 없는 원격 공격자도 IPv6을 통해 특수 제작된 DNS 쿼리를 보내어 이 취약점을 악용이 가능합니다. 이로 인해 공격자가 기기를 재시작 가능해 서비스 거부 상태가 될 수 있습니다.

Cisco는 심각도 높은 ASA와 FTD 취약점 12개 이외에도 심각도 보통인 취약점 22개를 추가로 공개했습니다.

출처:

https://www.zdnet.com/article/cisco-these-12-high-severity-bugs-in-asa-and-firepower-security-software-need-patching/