IOS XE 공격으로 ‘수천’ 대의 Cisco 장치 손상됨 • The Register

CChatGPT8
3 Min Read

[ad_1]

Cisco가 어제 공개한 치명적인 제로데이 버그를 기억하시나요? 글쎄, 상황은 더욱 악화됩니다.

이제 이 거대 네트워킹 회사의 스위치와 라우터 중 “수천 개”가 이미 인증 우회 결함을 악용하고 임플란트를 설치한 범죄자들에 의해 손상된 것으로 보입니다. 보안 업체 VulnCheck의 최고 기술 책임자인 Jacob Baines에 따르면 화요일 그의 팀은 “인터넷에 연결된 Cisco IOS XE 웹 인터페이스를 검사하여 수천 개의 이식된 호스트를 발견했습니다”라고 말했습니다.

Cisco는 문의에 응답하지 않았습니다. 레지스터 VulnCheck 보고서에 대해 알아보세요. 답변을 받으면 이 이야기를 업데이트하겠습니다.

아직 패치되지 않은 보안 결함은 CVE-2023-20198로 추적됩니다. 공급업체가 월요일에 공개한 것처럼 10등급 CVSS 버그를 악용하면 권한 수준 15 액세스가 허용됩니다. 즉 완전한 시스템 제어라고도 합니다.

그리고 Baines에 따르면 범죄자는 이 액세스 권한을 사용하여 “네트워크 트래픽을 모니터링하고, 보호된 네트워크로 전환하고, 중간자 공격을 얼마든지 수행”할 가능성이 높습니다. Baines의 말에 따르면 “이것은 나쁜 상황입니다.”

공격에 대해 물었을 때 그는 이렇게 말했습니다. 레지스터 “현지화되지 않은 것 같습니다. IP는 전 세계 다양한 국가에 위치 정보를 제공합니다.”

VulnCheck가 영향을 받은 시스템의 호스트 이름을 통해 알 수 있는 바에 따르면, 이 갱단은 이러한 공격에서 특정 조직이나 산업을 표적으로 삼지 않았습니다. Baines는 “우리에게는 희생자들의 잡다한 모임인 것처럼 보입니다.”라고 말했습니다.

공격자가 너무 많은 임플란트를 설치했다는 것도 “놀랍다”고 그는 말했다.

그리고 그렇습니다. 적어도 현재로서는 공격자가 단 한 명입니다. Cisco의 위협 정보 및 사고 대응 팀인 Talos는 이러한 공격이 여러 공격자가 아닌 하나의 범죄 그룹에 의해 수행되었을 가능성이 높다고 밝혔습니다.

“이식물은 기성 도구가 아니라 IOS XE에 맞춰 맞춤 제작되었습니다.”라고 Baines는 말했습니다. “공격자가 임플란트를 개발하고 광범위하게 설치할 수 있었다는 사실(제로 데이를 사용하여)은 매우 정교한 행위자가 대규모로 작업을 수행한다는 것을 말하며 이는 나에게 더 놀라운 일입니다.

그는 “우리는 종종 지능형 공격자가 보다 정확한 공격을 수행하고 봇넷/암호화폐와 같이 널리 퍼진 공격을 수행한다고 생각합니다”라고 말했습니다. “하지만 이번에는 아니야.”

VulnCheck는 또한 인터넷에서 이식된 시스템을 찾는 데 사용되는 스캐너를 출시했습니다. 따라서 귀하의 조직에서 IOS XE 시스템을 사용하는 경우 가능한 한 빨리 확인하는 것이 좋습니다.

Cisco는 아직 이 취약점에 대한 패치를 발표하지 않았지만 HTTP 서버 기능을 사용하는 모든 사람은 모든 인터넷 연결 시스템에서 즉시 해당 기능을 비활성화할 것을 권장합니다. 또한 공급업체는 월요일 보안 권고에서 이를 수행하는 방법에 대한 지침을 제공했습니다.

Talos에 따르면 공격자는 9월 18일부터 일부 조직의 네트워크에 침입했을 가능성이 높으며 10월 12일에 두 번째 “클러스터” 또는 활동이 감지되었습니다.

Lua 프로그래밍 언어를 기반으로 하는 임플란트는 29줄의 코드로 구성되며 특정 HTTP POST 요청을 장치에 보냅니다. 이는 임플란트에 하드코딩된 18자의 16진수 문자열을 반환합니다.

이는 공격자가 가장 높은 권한 수준에서 IOX 명령을 실행하는 데 필요한 인증 역할을 합니다. ®

Share this Article
Leave a comment

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다