Cisco의 보안 제품 우회하여 데이터 탈취 공격 수행 가능해

 

 

Hackers can bypass Cisco security products in data theft attacks

 

인증되지 않은 공격자가 Cisco의 여러 제품에 구현된 TLS 검사 필터링 기술을 우회해 고객 네트워크 내 과거 해킹된 서버에서 데이터를 유출하는 것이 가능하다고 경고했습니다.

 

공격자는 3000 시리즈 ISA, FTD, WSA 제품에 존재하는 서버명 식별(SNI) 요청 필터링 내 취약점을 악용할 수 있습니다.

 

Cisco는 아래와 같이 설명했습니다.

 

“원격 공격자는 SNIcat이나 유사한 툴을 사용해 SSL 클라이언트 hello 패킷 내 데이터를 추출해낼 수 있게 됩니다. 차단된 목록 내 서버에서 오는 리턴 서버 hello 패킷은 필터링되지 않기 때문입니다. 이 통신은 해킹된 호스트에 대한 C&C 공격을 수행하거나 추가적인 데이터 유출 공격을 실행하는데 사용할 수 있습니다.”

 

지금까지 Cisco의 제품 보안 사고 대응팀(PSIRT)는 해당 보안 취약점을 악용하는 공격자나 악성코드를 찾아볼 수 없었다고 밝혔습니다.

 

 

TLS 악용을 통한 은밀한 데이터 유출

 

SNICat(Server Name Indication Concatenator)은 TLS Client Hello 패킷을 통해 보안 경계 솔루션 및 TLS 검사 장치(예: 웹 프록시, 차세대 방화벽(NGFW))를 우회하는 은밀한 유출 방법입니다. 

 

SNICat 유출 기법을 사용할 경우 TLS 검사를 수행하는 보안 솔루션을 우회할 수 있음을 발견했습니다. Cisco에서 사용하는 C&C 도메인이 해당 보안 솔루션의 위협 방지 기능에 내장된 차단 목록에 포함된 경우에도 마찬가지였습니다.

 

즉, Cisco는 사용자를 보호하도록 설계된 솔루션이 사용자를 또 다른 취약점에 노출시킨다는 사실을 발견했습니다.

 

 

<이미지 출처 : https://www.mnemonic.no/blog/introducing-snicat/>

 

 

mnemonic Labs는 Cisco 이외에도 F5 Networks (TMOS 14.1.2, SSL Orchestrator 5.5.8를 실행하는 F5 BIG-IP), Palo Alto Networks (PAN-OS 9.1.1을 실행하는 Palo Alto NGFW), Fortinet (FortiOS 6.2.3을 실행하는 Fortigate NGFW)에서도 이를 성공적으로 테스트했습니다.

 

연구원들은 해킹된 에이전트와 C&C 서버로 SNI 비밀 채널을 통하여 과거 해킹된 서버에서 데이터를 추출할 수 있는 PoC 툴을 개발했습니다.

 

Cisco는 현재 해당 취약점에 영향을 받는 제품 라인을 확인 중이며, 곧 권고를 업데이트할 예정이라 밝혔습니다.

 

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/hackers-can-bypass-cisco-security-products-in-data-theft-attacks/

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sni-data-exfil-mFgzXqLN

https://www.mnemonic.no/blog/introducing-snicat/