Cisco 에코시스템의 심각한 보안 문제 “CVE-2023-20198” 보안 취약점이 발생하였습니다. 새로운 심각한 보안 취약점에 직면하고 있으며, 이 취약점은 몇 주 동안 활발하게 악용되어 왔습니다. 이 문제에 대한 조치가 필요한 상황이며, 패치가 예상되지만 이미 수만 대의 디바이스가 영향을 받을 수 있습니다.
시스코 CVE-2023-20198: 매우 중요한 보안 취약점
이 보안 취약점은 CVE-2023-20198로 식별되며 CVSS 시스템에서 최대 위험 수준(10.0)으로 분류될 정도로 매우 중요합니다.
취약점 내용
CVE-2023-20198 취약점은 Cisco IOS XE 네트워크 운영 체제의 웹 UI 기능에 존재합니다. HTTP 또는 HTTPS 서버 기능이 활성화된 경우, 이 취약점을 이용하여 인증되지 않은 원격 공격자가 취약한 디바이스에서 “권한 수준 15 액세스 권한”을 가진 새 사용자 계정을 만들 수 있습니다. 이는 공격자가 시스템을 완전히 제어할 수 있는 것을 의미합니다.
• Cisco IOS XE Software의 Web UI에서 발생하는 권한 상승 취약점(CVE-2023-20198)으로 위험도 최대점수(CVSS: 10.0 Critical) 취약점임
• 영향받는 제품은 Web UI 기능을 활성화한 Cisco IOS XE Software
감염여부 확인
curl -k -X POST “https:// systemip /webui/logoutconfirm.html?logon_hash=1”
systemip : 시스템 IP 입력
요청에 대한 응답이 16진수 문자열을 반환하면 감염을 의심
조치 방안
• 모든 인터넷 연결 시스템상의 HTTP Server 기능에 대해 비활성화
• HTTP/HTTPS 통신이 필요한 서비스를 실행한 경우, 해당 서비스 접근을 신뢰할 수 있는 내부 네트워크로 제한(ACL 설정) 및 모니터링 강화
악용 기간
CVE-2023-20198 취약점은 최소 4주 동안 활발하게 악용되어 왔습니다. 이로 인해 9월 18일 이전에 고객 디바이스에서 “비정상적인 동작”이 발견되었습니다.
영향 및 대응
이 버그는 Cisco IOS XE를 실행하는 가상 및 물리적 디바이스에 영향을 미치며, 인터넷에 연결된 수많은 네트워크 어플라이언스가 이 문제에 취약할 수 있습니다. 악의적인 공격자가 권한 있는 액세스 권한을 획득한 후에는 로컬 사용자 계정을 생성하여 시스템에 거점을 마련하려고 시도합니다. 따라서 Cisco는 관리자에게 손상 징후를 확인할 것을 권고하며, 표준 산업 운영 보안(OPSEC) 관행에 따라 인터넷 연결 시스템에서 HTTP 및 HTTPS 서버를 비활성화할 것을 권장합니다.
취약 제품 : 시스코(Cisco) IOS XE Software
| 시스코(Cisco) 영향받는 버전 | 시스코(Cisco) 해결 버전 |
|---|---|
| 16.12 (Catalyst 3650 및 3850만 해당) | 16.12.10a |
| 17.3 | 17.3.8a |
| 17.6 | 17.6.6a |
| 17.9 | 17.9.4a |
기타 위협
또한 Cisco는 심각한 CVE-2023-20198 취약점을 악용하는 동안 이전에 수정된 CVE-2021-1435 취약점을 이용할 가능성도 경고하고 있습니다. 이 취약점은 과거에 수정되었지만 여전히 위협 공격자들이 패치된 디바이스를 손상시키고 악성 페이로드를 심을 수 있는 가능성이 있는 “미확인 메커니즘”을 활용할 수 있습니다.
시스코 탈로스는 현재 CVE-2023-20198 위협을 해결하기 위한 패치를 개발 중이며, 네트워크 관리자에게 주의를 당부하고 있습니다.