시스코, 익스플로잇 공개된 Security Manager 취약점 수정

Cisco fixes Security Manager vulnerabilities with public exploits

 

Cisco가 사전 인증 취약점 다수를 수정하기 위한 보안 업데이트를 공개했습니다. 익스플로잇이 공개된 이 취약점은 Cisco Security Manager에 영향을 미치며, 악용에 성공할 경우 공격자가 원격 코드 실행을 할 수 있습니다.

 

Cisco Security Manager를 통해 다양한 Cisco 보안 및 네트워크 기기의 보안 정책을 관리할 수 있으며, 요약된 보고서를 확인하고 보안 이벤트 트러블 슈팅 기능을 사용할 수도 있습니다.

 

이 제품은 Cisco ASA 어플라이언스를 포함한 Cisco 보안 어플라이언스, Cisco Catalyst 6000 Series 스위치, Integrated Services Routers (ISRs), Firewall Services 모듈 등에 사용할 수 있습니다.

 

11월부터 PoC 익스플로잇 공개돼

 

Cisco는 권고를 통해 “Cisco의 제품 보안 사고 대응 팀(PSIRT)은 이 취약점이 대중에 공개되었다는 사실을 알고 있다”고 밝혔습니다.

 

이 취약점은 Cisco Security Manager 4.22 및 이전 버전에 영향을 미치며, Cisco는 지난 8월 Code White 보안 연구원인 Florian Hauser의 제보를 받은 후 11월 16일 이 취약점을 공개했습니다.

 

Hauser는 Cisco PSIRT에서 응답을 받을 수 없자 Cisco Security Manager 취약점 12개에 대한 PoC 익스플로잇을 모두 공개했습니다.

 

다행히도 Cisco는 금일 패치된 취약점을 악용한 실제 공격은 찾아볼 수 없었다고 밝혔습니다.

 

적용 가능한 보안 업데이트

 

Cisco는 취약점 12개 중 2개를 수정했습니다. (CVE-2020-27125, CVE-2020-27130)

 

하지만 CVE-2020-27131로 등록된 보안 취약점 다수를 수정하는 보안 업데이트는 제공하지 않았습니다.

 

이 취약점은 Hauser가 Cisco Security Manager의 자바 역직렬화 기능에서 발견했으며 “영향을 받는 소프트웨어가 사용자가 제공한 콘텐츠를 안전하지 않은 방식으로 역직렬화”하기 때문에 발생합니다.

 

악용에 성공할 경우 공격자가 무단으로 취약한 기기에서 원격으로 임의 명령을 실행할 수 있도록 허용합니다.

 

“공격자는 악성으로 직렬화된 Java 오브젝트를 취약한 시스템의 특정 리스너에게 전송하는 방식으로 이 취약점을 악용할 수 있습니다.”

 

“성공적으로 악용할 경우 공격자가 윈도우 타깃 호스트에서 NT AUTHORITY\SYSTEM 권한으로 임의 명령을 실행할 수 있게 됩니다.”

 

시스코는 Cisco Security Manager 4.22 서비스팩 1에서 이 취약점을 수정했습니다.

 

이 보안 취약점을 완화할 수 있는 다른 방법이 없기 때문에, 관리자는 이 보안 업데이트를 최대한 빨리 배포해야 합니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/cisco-fixes-security-manager-vulnerabilities-with-public-exploits/

https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-csm-java-rce-mWJEedcD.html?dtid=osscdc000283