링크모음 링크세상
링크세상 링크모음 링크 애니 웹툰 링크 드라마 영화 링크 세상의모든링크

중요한 Cisco IOS XE 결함에 대한 익스플로잇이 공개되었으며, 많은 호스트가 여전히 해킹당했습니다.

이제 수만 대의 장치를 해킹하기 위해 제로데이로 활용되었던 CVE-2023-20198로 추적되는 중요한 Cisco IOS XE 취약점에 대한 공개 악용 코드를 사용할 수 있습니다.

Cisco는 IOS XE 소프트웨어의 대부분 릴리스에 대한 패치를 출시했지만 수천 대의 시스템이 계속해서 손상되고 있는 것으로 인터넷 검색에 나타났습니다.

CVE-2023-20198 익스플로잇 세부정보

보안 평가 서비스를 제공하는 회사인 Horizon3.ai의 연구원은 공격자가 CVE-2023-20198에 취약한 Cisco IOS XE 장치에서 인증을 우회할 수 있는 방법에 대한 세부 정보를 공유했습니다.

오늘 기술 보고서에서 연구원들은 해커들이 장치에 대한 완전한 제어를 제공하는 레벨 15 권한을 가진 새로운 사용자를 생성하기 위해 최대 심각도의 보안 문제를 어떻게 악용할 수 있는지 보여줍니다.

에 의해 설정된 허니팟에서 캡처된 정보를 사용하여 익스플로잇 생성이 가능했습니다. SECUINFRA 팀 디지털 포렌식 및 사고 대응 참여를 위한 것입니다.

Horizon3.ai는 공격자가 WMSA(Web Services Management Agent) 서비스에 대한 HTTP 요청을 인코딩할 수 있다고 설명합니다. 아래에 – OpenResty(Lua 스크립팅을 지원하는 Nginx 기반 서버)용 구성 파일을 생성할 수 있는 Cisco IOS XE의 강력한 바이너리입니다. 편물 서비스는 CVE-2023-20198에 취약합니다.

“이 취약점의 핵심은 이 요청의 첫 번째 줄에 있습니다. POST /%2577ebui_wsma_HTTP. 이 영리한 인코딩은 webui_wsma_http 이전 게시물에서 설명한 Nginx 일치를 우회하고 다음에서 WMSA 서비스에 연결할 수 있습니다. iosd” – Horizon3.ai

WSMA를 사용하면 시스템에 대한 모든 권한을 가진 사용자를 생성할 수 있는 구성 기능에 대한 액세스를 제공하는 요청을 포함하여 SOAP 요청을 통해 명령을 실행할 수 있습니다.

연구원들은 익스플로잇 코드를 테스트하여 장치의 관리 인터페이스에 표시되는 관리 권한(레벨 15 권한)을 가진 새로운 사용자를 생성할 수 있었습니다.

Horizon3.ai는 CVE-2023-20198을 악용하여 전체 권한 사용자를 생성합니다.
CVE-2023-20198 Cisco IOS XE에서 전체 권한 사용자를 생성하는 익스플로잇
출처: Horizon3.ai

연구원들은 이 시점부터 공격자가 장치에 대한 완전한 제어권을 갖게 되며 다른 취약점을 악용하지 않고도 디스크에 악성 임플란트를 작성할 수 있다고 지적했습니다.

Cisco IOS XE 백도어가 살아납니다

노출된 온라인 서비스를 위한 인텔리전스 플랫폼인 LeakIX는 Secuinfra도 관찰한 익스플로잇이 Cisco IOS XE 장치를 성공적으로 하이재킹할 수 있음을 확인했습니다.

또한, LeakIX의 Cisco IOS XE 허니팟은 위협 행위자에 의해 깨어나서 연구원들이 장치에서 실행되는 명령을 볼 수 있도록 했습니다.

LeakIX는 공격자의 명령을 포착합니다.
공격자는 정찰 목적으로 명령을 보냅니다.
출처: LeakIX

BleepingComputer와 공유된 세션의 PCAP 파일에서 공격자가 다음 명령을 실행하는 것을 볼 수 있습니다.


show ip interface brief
show ip dns view
show ip name-servers

이는 모두 정찰 목적으로 사용되며 가치가 높은 대상을 발견하는 데 도움이 되는 정보를 수집하는 명령입니다.

Cisco는 더 많은 IOS XE 버전을 패치합니다.

Cisco는 10월 30일에 CVE-2023-20198에 대한 보안 공지를 업데이트하여 취약점을 해결하는 IOS XE용 업데이트를 발표했습니다.

새로운 릴리스가 아직 출시되지 않았기 때문에 현재 소프트웨어 버전 17.3만이 보안 문제의 영향을 받는 유일한 소프트웨어입니다. 회사는 또한 SMU(소프트웨어 유지 관리 업데이트)의 문제를 해결했습니다.

Cisco IOS XE 소프트웨어 릴리스 교육 첫 번째 고정 릴리스 사용 가능
17.9 17.9.4a
17.6 17.6.6a
17.3 17.3.8a 미정
16.12(Catalyst 3650 및 3850만 해당) 16.12.10a

새로운 소프트웨어 릴리스는 회사의 소프트웨어 다운로드 센터에서 다운로드할 수 있습니다.

수천 대의 장치가 여전히 해킹당했을 가능성이 있음

위협 행위자들은 Cisco가 10월 16일에 이를 공개하기 전 제로데이부터 CVE-2023-20198을 악용하기 시작했습니다.

그로부터 열흘 후인 10월 25일, 위협 사냥을 위한 Censys 플랫폼은 약 28,000대의 Cisco IOS XE 호스트에서 전 세계에 퍼져 있는 침해 징후를 발견했습니다.

Censys의 조사 결과에 따르면 해킹된 장치 중 다수는 전국적으로 서비스를 제공하는 주요 통신업체 및 인터넷 제공업체에서 발견되었습니다.

Cisco가 이 취약점이 실제 환경에서 악용되고 있다는 사실을 공개한 후 초기 추산에 따르면 악성 임플란트를 실행 중인 사용자는 약 10,000명에 달했습니다.

주말까지 인터넷 검색 결과 공개 웹에 노출된 약 60,000개의 Cisco IOS XE 장치에 임플란트가 있는 것으로 나타났습니다.

위협 행위자가 응답하기 전에 Authorization 헤더를 확인하기 위해 악성 코드를 변경했을 때 해킹된 장치 중 다수가 보이지 않게 되면서 그 숫자는 얼마 지나지 않아 갑자기 감소했습니다.

사이버 보안 회사인 Fox-IT의 연구원들은 10월 23일 약 38,000개의 Cisco IOS XE 호스트가 손상된 것으로 밝혀진 변경 사항에 맞게 조정된 검색 방법을 고안했습니다.

Leave A Reply

Your email address will not be published.