Cisco IOS XE ์ด์ ์ฒด์ ๊ฐ ํ์ฌ๋ ๋ฌผ๋ฆฌ์ ๋ฐ ๊ฐ์ Cisco ์ฅ์น์ ์ฌ์ฉ๋๋ ์น ์ธํฐํ์ด์ค ๊ตฌํ์์ ์ธ์ฆ ์์ด ์์คํ ์ ๋ํ ์ ์ฒด ์ก์ธ์ค๋ฅผ ํ์ฉํ๋ ์ฌ๊ฐํ ์ทจ์ฝ์ (CVE-2023-20198)์ด ์๋ณ๋์์ต๋๋ค. ์น ์ธํฐํ์ด์ค๊ฐ ์๋ํ๋ ๋คํธ์ํฌ ํฌํธ์ ๋ํ ์ก์ธ์ค ๊ถํ์ด ์๋ ๊ฒฝ์ฐ ์ต๋ ๊ถํ ์์ค. ๊ณต๊ฒฉ์๋ค์ด ํจ์น๋์ง ์์ ์ทจ์ฝ์ ์ ํ ๋ฌ ๋์ ์ด์ฉํด ๊ด๋ฆฌ์ ๊ถํ์ด ์๋ "cisco_tac_admin"๊ณผ "cisco_support" ๊ณ์ ์ ์ถ๊ฐ๋ก ์์ฑํ๊ณ , ์คํ์ ์ํ ์๊ฒฉ ์ก์ธ์ค๋ฅผ ์ ๊ณตํ๋ ์ฅ์น์ ์๋์ผ๋ก ์ํ๋ํธ๋ฅผ ๋ฐฐ์นํ๋ค๋ ์ ์์ ๋ฌธ์ ์ ์ํ์ฑ์ ๋์ฑ ๊ฐ์ค๋ฉ๋๋ค. ์ฅ์น์ ๋ํ ๋ช ๋ น.
์ ์ ํ ์์ค์ ๋ณด์์ ๋ณด์ฅํ๋ ค๋ฉด ์ ํํ ํธ์คํธ ๋๋ ๋ก์ปฌ ๋คํธ์ํฌ์๋ง ์น ์ธํฐํ์ด์ค์ ๋ํ ์ก์ธ์ค๋ฅผ ์ฌ๋ ๊ฒ์ด ๊ถ์ฅ๋์ง๋ง ๋ง์ ๊ด๋ฆฌ์๋ ๊ธ๋ก๋ฒ ๋คํธ์ํฌ์์ ์ฐ๊ฒฐํ๋ ์ต์ ์ ๊ทธ๋๋ก ๋ก๋๋ค. ํนํ ์ผ๋จ(Shodan) ์๋น์ค์ ๋ฐ๋ฅด๋ฉด ํ์ฌ ๊ธ๋ก๋ฒ ๋คํธ์ํฌ์๋ ์ ์ฌ์ ์ผ๋ก ์ทจ์ฝํ ๊ธฐ๊ธฐ๊ฐ 140๋ง๊ฐ ์ด์ ๊ธฐ๋ก๋ผ ์๋ค. CERT ์กฐ์ง์ ์ด๋ฏธ ์ ์ฑ ์ํ๋ํธ๊ฐ ์ค์น๋ Cisco ์ฅ์น ๊ณต๊ฒฉ์ ์ฑ๊ณตํ ์ฝ 35๋๋ฅผ ๊ธฐ๋กํ์ต๋๋ค.
์ทจ์ฝ์ ์ ์ ๊ฑฐํ๋ ์์ ์ฌํญ์ ๊ฒ์ํ๊ธฐ ์ ์ ๋ฌธ์ ๋ฅผ ์ฐจ๋จํ๊ธฐ ์ํ ํด๊ฒฐ ๋ฐฉ๋ฒ์ผ๋ก "no ip http server" ๋ฐ "no ip http secure-server" ๋ช ๋ น์ ์ฌ์ฉํ์ฌ ์ฅ์น์์ HTTP ๋ฐ HTTPS ์๋ฒ๋ฅผ ๋นํ์ฑํํ๋ ๊ฒ์ด ์ข์ต๋๋ค. ์ฝ์์ ์ฌ์ฉํ๊ฑฐ๋ ๋ฐฉํ๋ฒฝ์ ์น ์ธํฐํ์ด์ค์ ๋ํ ์ก์ธ์ค๋ฅผ ์ ํํ์ธ์. ์ ์ฑ ์ํ๋ํธ์ ์กด์ฌ๋ฅผ ํ์ธํ๋ ค๋ฉด ๋ค์ ์์ฒญ์ ์คํํ๋ ๊ฒ์ด ์ข์ต๋๋ค. ์ปฌ -X POST http://IP-devices/webui/logoutconfirm.html?logon_hash=1 ์ด ์์ฒญ์ด ์์๋๋ฉด 18์๋ฅผ ๋ฐํํฉ๋๋ค. ํด์์. ๋ํ ์ถ๊ฐ ํ์ผ์ ์ค์นํ๊ธฐ ์ํ ์ธ๋ถ ์ฐ๊ฒฐ ๋ฐ ์์ ์ ๋ํ ์ฅ์น์ ๋ก๊ทธ๋ฅผ ๋ถ์ํ ์๋ ์์ต๋๋ค. %SYS-5-CONFIG_P: %SEC_LOGIN-5-WEBLOGIN_SUCCESS ๋ผ์ธ์ ์ฌ์ฉ์๋ก ์ฝ์์์ SEP_webui_wsma_http ํ๋ก์ธ์ค์ ์ํด ํ๋ก๊ทธ๋๋ฐ ๋ฐฉ์์ผ๋ก ๊ตฌ์ฑ๋จ: ๋ก๊ทธ์ธ ์ฑ๊ณต [์ฌ์ฉ์: ์ฌ์ฉ์] [์ถ์ฒ: source_IP_address] at 05:41:11 UTC Wed Oct 17 2023 %WEBUI -6-INSTALL_OPERATION_INFO: ์ฌ์ฉ์: ์ฌ์ฉ์ ์ด๋ฆ, ์ค์น ์์ : ํ์ผ ์ด๋ฆ ์ถ๊ฐ
์์๋ ๊ฒฝ์ฐ ์ํ๋ํธ๋ฅผ ์ ๊ฑฐํ๋ ค๋ฉด ์ฅ์น๋ฅผ ์ฌ๋ถํ ํ๊ธฐ๋ง ํ๋ฉด ๋ฉ๋๋ค. ๊ณต๊ฒฉ์๊ฐ ๋ง๋ ๊ณ์ ์ ๋ค์ ์์ํ ํ์๋ ์ ์ง๋๋ฉฐ ์๋์ผ๋ก ์ญ์ ํด์ผ ํฉ๋๋ค. ์ํ๋ํธ๋ /usr/binos/conf/nginx-conf/cisco_service.conf ํ์ผ์ ์์ผ๋ฉฐ Lua ์ธ์ด๋ก ๋ 29์ค์ ์ฝ๋๋ฅผ ํฌํจํ์ฌ ์ด์ ๋ํ ์๋ต์ผ๋ก ์์คํ ์์ค ๋๋ Cisco IOS XE ๋ช ๋ น ์ธํฐํ์ด์ค์์ ์์ ๋ช ๋ น ์คํ์ ์ ๊ณตํฉ๋๋ค. ํน๋ณํ ๋งค๊ฐ๋ณ์ ์ธํธ๋ฅผ ์ฌ์ฉํ์ฌ HTTP ์์ฒญ์ ์ ์ฉํฉ๋๋ค.
์ถ์ฒ : opennet.ru