Cisco, VPN 라우터 내 치명적인 사전 인증 취약점 수정

 

 

Cisco fixes critical, high severity pre-auth flaws in VPN routers

 

Cisco가 원격 공격자가 서비스 거부 조건을 유발하거나 취약한 기기에서 명령 및 임의 코드를 실행하도록 허용하는 중소기업용 VPN 라우터 내 사전 인증 취약점을 수정했습니다.

 

해당 웹 기반 관리 인터페이스에서 CVE-2021-1609(9.8/10), CVE-2021-1602(8.2/10)로 등록된 보안 취약점 2개가 발견되었으며, 각각 HTTP 요청의 검증 부족 및 충분하지 못한 사용자 입력 검증으로 인해 발생합니다. 

 

CVE-2021-1609는 RV340, RV340W, RV345, RV345P 듀얼 WAN Gigabit VPN 라우터에 영향을 미치며 CVE-2021-1602는 RV160, RV160W, RV260, RV260P, RV260W VPN 라우터에 영향을 미칩니다.

 

두 취약점 모두 사용자와의 상호작용이 필요하지 않으며, 공격자가 원격으로 악용이 가능합니다.

 

공격자는 영향을 받는 라우터의 웹 기반 관리 인터페이스에 악성 HTTP 요청을 보내는 방식으로 취약점을 악용 가능합니다.

 

취약한 모든 라우터에서 원격 관리 기능은 기본적으로 비활성화 돼

 

다행히 모든 취약한 VPN 라우터 모델에서 원격 관리 기능은 모두 기본적으로 비활성화 되어있는 상태였습니다.

 

Cisco는 이에 대해 아래와 같이 밝혔습니다.

 

“웹 기반 관리 인터페이스는 기본적으로 로컬 LAN을 통해 사용이 가능하며, 비활성화가 불가능합니다. 이 인터페이스는 WAN 인터페이스를 통해 사용하는 것도 가능합니다. 원격 관리 기능은 기본적으로 취약한 기기에서 비활성화되어 있습니다.”

 

기기에서 원격 관리가 활성화된 상태인지 확인하려면 로컬 LAN 연결을 통해 라우터의 웹 기반 인터페이스를 열고 기본 설정 > 원격 관리 옵션이 켜져 있는지 확인해야 합니다.

 

Cisco는 이러한 취약점을 해결하기 위한 소프트웨어 업데이트를 출시했으며, 해당 공격 벡터를 제거할 수 있는 다른 대안이 없다고 밝혔습니다.

 

패치된 펌웨어는 여기에서 다운로드할 수 있습니다.

 

실제 공격 악용 사례는 없어

 

Cisco는 “현재 제품 보안 사고 대응 팀이 해당 취약점 2건에 대한 공개적인 발표나 악용되고 있다는 증거를 찾지는 못했다”라고 밝혔습니다. 하지만 과거에도 유사한 라우터 취약점이 공격자들의 표적이 된 적이 있습니다.

 

2020년 8월, Cisco는 멀티 캐스트 라우팅이 활성화된 캐리어급 IOS XR 라우터에서 활발히 악용되고 있었던 제로데이 취약점(CVE-2020-3566, CVE-2020-3569)에 대해 경고한 적이 있습니다.

 

회사는 초기 경고로부터 한 달이 지난 후인 2020년 9월 말 제로데이 취약점을 패치했습니다.

 

한 달 후인 2020년 10월, Cisco는 동일한 라우터 모델에 배포된 IOS XR Network OS에 영향을 미치는 심각도 높은 취약점인 CVE-2020-3118을 노리는 공격에 대해 또 다시 경고했습니다.

 

같은 날 미 NSA에서는 중국 정부의 지원을 받는 공격자가 노리고 있거나 악용한 취약점 목록 25개에도 CVE-2020-3118이 포함되어 있었습니다.

 

2020년 7월, Cisco는 활발히 악용되는 또 다른 ASA/FTD 방화벽 취약점과 치명적인 사전 인증 원격 코드 실행 취약점을 수정했습니다. 이 취약점은 취약한 기기 전체를 제어할 수 있는 권한을 얻는데 악용될 수 있었습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/cisco-fixes-critical-high-severity-pre-auth-flaws-in-vpn-routers/

https://software.cisco.com/download/home/282413304?catid=268437899