상세 컨텐츠

본문 제목

Cisco의 보안 제품 우회하여 데이터 탈취 공격 수행 가능해

국내외 보안동향

by 알약4 2021. 8. 20. 14:00

본문

 

 

Hackers can bypass Cisco security products in data theft attacks

 

인증되지 않은 공격자가 Cisco의 여러 제품에 구현된 TLS 검사 필터링 기술을 우회해 고객 네트워크 내 과거 해킹된 서버에서 데이터를 유출하는 것이 가능하다고 경고했습니다.

 

공격자는 3000 시리즈 ISA, FTD, WSA 제품에 존재하는 서버명 식별(SNI) 요청 필터링 내 취약점을 악용할 수 있습니다.

 

Cisco는 아래와 같이 설명했습니다.

 

원격 공격자는 SNIcat이나 유사한 툴을 사용해 SSL 클라이언트 hello 패킷 내 데이터를 추출해낼 수 있게 됩니다. 차단된 목록 내 서버에서 오는 리턴 서버 hello 패킷은 필터링되지 않기 때문입니다. 이 통신은 해킹된 호스트에 대한 C&C 공격을 수행하거나 추가적인 데이터 유출 공격을 실행하는데 사용할 수 있습니다.”

 

지금까지 Cisco의 제품 보안 사고 대응팀(PSIRT)는 해당 보안 취약점을 악용하는 공격자나 악성코드를 찾아볼 수 없었다고 밝혔습니다.

 

 

TLS 악용을 통한 은밀한 데이터 유출

 

SNICat(Server Name Indication Concatenator) TLS Client Hello 패킷을 통해 보안 경계 솔루션 및 TLS 검사 장치(: 웹 프록시, 차세대 방화벽(NGFW))를 우회하는 은밀한 유출 방법입니다

 

SNICat 유출 기법을 사용할 경우 TLS 검사를 수행하는 보안 솔루션을 우회할 수 있음을 발견했습니다. Cisco에서 사용하는 C&C 도메인이 해당 보안 솔루션의 위협 방지 기능에 내장된 차단 목록에 포함된 경우에도 마찬가지였습니다.

 

, Cisco는 사용자를 보호하도록 설계된 솔루션이 사용자를 또 다른 취약점에 노출시킨다는 사실을 발견했습니다.

 

 

<이미지 출처 : https://www.mnemonic.no/blog/introducing-snicat/>

 

 

mnemonic LabsCisco 이외에도 F5 Networks (TMOS 14.1.2, SSL Orchestrator 5.5.8를 실행하는 F5 BIG-IP), Palo Alto Networks (PAN-OS 9.1.1을 실행하는 Palo Alto NGFW), Fortinet (FortiOS 6.2.3을 실행하는 Fortigate NGFW)에서도 이를 성공적으로 테스트했습니다.

 

연구원들은 해킹된 에이전트와 C&C 서버로 SNI 비밀 채널을 통하여 과거 해킹된 서버에서 데이터를 추출할 수 있는 PoC 을 개발했습니다.

 

Cisco는 현재 해당 취약점에 영향을 받는 제품 라인을 확인 중이며, 곧 권고를 업데이트할 예정이라 밝혔습니다.

 

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/hackers-can-bypass-cisco-security-products-in-data-theft-attacks/

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sni-data-exfil-mFgzXqLN

https://www.mnemonic.no/blog/introducing-snicat/

관련글 더보기

댓글 영역