Cisco, 실제 공격에서 악용되는 새로운 IOS XR 제로데이 취약점 패치해

Cisco Issues Patch for New IOS XR Zero-Day Vulnerability Exploited in the Wild

 

Cisco가 지난 금요일 IOS XR 소프트웨어에 영향을 미치는 심각도 보통인 취약점에 대한 패치를 발표했습니다. 해당 취약점은 실제 공격에서 악용된 것으로 알려졌습니다.

 

CVE-2022-20821(CVSS 점수: 6.5)로 등록된 이 취약점은 인증되지 않은 원격 공격자가 Redis 인스턴스에 연결해 코드를 실행하기 위해 악용할 수 있는 오픈 포트 포트 취약점과 관련이 있습니다.

 

Cisco는 권고를 통해 아래와 같이 밝혔습니다.

 

“공격자가 취약점 악용에 성공할 경우, Redis 인메모리 데이터베이스에 쓰고, 컨테이너 파일 시스템에 임의 파일을 쓰고, Redis 데이터베이스에 대한 정보를 검색할 수 있도록 할 수 있습니다.”

 

"Redis 인스턴스가 실행되는 샌드박스 컨테이너의 구성을 고려했을 때, 원격 공격자가 원격 코드를 실행하거나 Cisco IOS XR Software 호스트 시스템의 무결성을 악용하는 것은 불가능합니다.”

 

기술 지원 센터(TAC)의 사례를 해결하는 동안 확인된 이 취약점은 상태 점검 RPM이 설치 및 활성화된 IOS XR 소프트웨어를 실행하는 Cisco 8000 시리즈 라우터에 영향을 미칩니다.

 

Cisco는 아래와 같이 설명했습니다.

 

상태 확인을 비활성화하려면 아래 명령을 정확히 입력해야 합니다:

 

RP/0/RP0/CPU0:8000(config)#no healthcheck enable 
RP/0/RP0/CPU0:8000(config)#healthcheck use-case asic-reset disable
RP/0/RP0/CPU0:8000(config)#healthcheck use-case packet-drop disable 
RP/0/RP0/CPU0:8000(config)#commit  
RP/0/RP0/CPU0:8000#

 

이후 장치에서 상태 확인 RPM을 제거합니다. 

 

RP/0/RP0/CPU0:8000#install package remove xr-healthcheck
Wed May 18 05:00:08.060 UTCInstall remove operation 5.2.2 has started
Install operation will continue in the background
RP/0/RP0/CPU0:8000#
RP/0/RP0/CPU0:8000#install apply restart
Wed May 18 05:01:08.842 UTC
Install apply operation 5.2 has started
Install operation will continue in the background
RP/0/RP0/CPU0:8000#

 

또한 Cisco는 이달 초 해당 제로데이 취약점을 악용하려는 시도를 발견했다고 경고했습니다.

 

"Cisco는 고객이 이 취약점을 수정하기 위한 적절한 해결을 적용하거나, 수정된 소프트웨어 버전으로 업그레이드할 것을 강력히 권장합니다."

 

 

 

 

출처:

https://thehackernews.com/2022/05/cisco-issues-patches-for-new-ios-xr.html

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-redis-ABJyE5xK