상세 컨텐츠

본문 제목

Cisco 시큐어 이메일 취약점, 인증 우회 허용해

국내외 보안동향

by 알약4 2022. 6. 16. 09:00

본문

Cisco Secure Email bug can let attackers bypass authentication

 

Cisco가 공격자가 인증을 우회하고 디폴트 구성이 아닌 상태에서 Cisco 이메일 게이트웨이 어플라이언스의 웹 관리 인터페이스에 로그인할 수 있도록 허용하는 치명적인 취약점을 패치할 것을 공지했습니다.

 

이 보안 취약점(CVE-2022-20798)은 가상 및 하드웨어 Cisco ESA(Email Security Appliance) Cisco Secure Email, Web Manager 어플라이언스의 외부 인증 기능에서 발견되었습니다.

 

CVE-2022-20798은 외부 인증을 위해 LDAP(Lightweight Directory Access Protocol)를 사용한 취약한 기기에 시행되는 인증 검사가 적절하지 않기 때문에 발생합니다.

 

Cisco는 관련하여 아래와 같이 설명했습니다.

 

"공격자는 취약한 기기의 로그인 페이지에 특정 입력을 통해 이 취약점을 악용할 수 있습니다."

 

"공격자는 악용을 위해 취약한 기기의 웹 기반 관리 인터페이스에 무단으로 액세스할 수 있습니다."

 

수요일에 발표된 권고에 따르면, 해당 버그는 Cisco TAC(Technical Assistance Center)의 문의를 해결하던 중 발견되었습니다.

 

CiscoPSIRT(Product Security Incident Response Team)는 이 취약점을 악용한 공개된 익스플로잇이나 실제 공격에 악용된 사례는 찾지 못했다고 밝혔습니다.

 

기본 구성은 영향을 받지 않아

 

이 취약점은 외부 인증 및 LDAP를 인증 프로토콜로 사용하도록 구성된 기기에만 영향을 미칩니다.

 

다행히도, Cisco에 따르면 외부 인증 기능은 기본적으로 비활성화되어 있습니다. , 구성이 디폴트 상태가 아닌 기기만 이 공격에 취약합니다.

 

어플라이언스에서 외부 인증이 활성화되었는지 확인하려면 웹 기반 관리 인터페이스에 로그인하여 시스템 관리 > 사용자로 이동한 다음 "외부 인증 활성화" 옆에 있는 녹색 체크 박스를 확인하면 됩니다.

 

또한 Cisco는 해당 취약점이 이전에 Cisco WSA(Web Security Appliance)로 알려진 Cisco Secure Web Appliance 제품에는 영향을 미치지 않는다고 밝혔습니다.

 

CVE-2022-20798 보안 업데이트를 즉시 설치할 수 없을 경우에는 외부 인증 서버에서 익명 바인딩을 비활성화하는 방법을 적용할 수 있습니다.

 

지난 2월에는 또 다른 보안 이메일 게이트웨이 취약점이 패치되었습니다. 이를 악용할 경우 원격 공격자가 악성 이메일 메시지를 통해 패치되지 않은 어플라이언스를 충돌시킬 수 있었습니다.

 

또한 Cisco는 단종된 RV110W, RV130, RV130W, RV215W SMB 라우터에 영향을 미치는 치명적인 제로데이 버그를 수정하지 않을 것이라고 발표했습니다. 따라서 공격자는 이를 악용하여 루트 수준 권한으로 임의의 명령을 실행할 수 있게 되었습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/cisco-secure-email-bug-can-let-attackers-bypass-authentication/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-20798

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-esa-auth-bypass-66kEcxQD

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sb-rv-overflow-s2r82P9v

관련글 더보기

댓글 영역