최근, 시스코 IOS XE 제로데이 취약점이 사이버보안 업계에서 화두가 되고 있다. 이 제로데이 취약점은 시스코(Cisco)가 개발한 IOS XE 소프트웨어의 활성화된 웹 UI(Web UI)에서 발견되었다. 실제 공격에 활발히 악용되고 있는 이 제로데이 취약점은 CVE-2023-20198과 CVE-2023-20273이다. 이 중 CVE-2023-20198은 가장 높은 CVSS 점수인 10점을 부여 받았으며, 시스코는 이 취약점에 대해 “공격자가 15등급 권한을 가지고 피해자의 시스템에 접근할 수 있게 해 주는 취약점”이라고 묘사했다. 시스코 IOS XE 제로데이 취약점을 악용한 공격은 모든 명령을 실행하고 각종 환경 설정 항목들을 변경할 수 있어 생각보다 심각한 수준이다. 시스코는 10월 16일 두 개의 취약점에 대한 보안 권고를 발표했고 현재로서는 IOS XE의 웹 UI 기능을 비활성화 시키는 것이 유일한 방어책이라고 밝혔다.
시스코 IOS XE 제로데이 위협에 노출된 장치 탐지 방법
시스코 IOS XE 제로데이 위협에 노출된 장치를 탐지하는 검색 쿼리는 “WebUI Product: “OpenResty” 이다. 이 쿼리는 시스코 웹 UI가 구동되는 OpenResty 제품을 찾는 쿼리로, 인터넷에서 접속 가능한 시스코 IOS XE 웹UI 장치를 찾을 수 있다.
Criminal IP Asset Search의 Product 필터를 사용하면 특정 제품이 사용되는 IP 주소를 검색 할 수 있다.
Search Query: WebUI product: “OpenResty”
검색 결과, OpenResty 서버에서 작동되고 있는 56,000개 이상의 Cisco IOS XE 장치가 발견되었다. 시스코 글로벌 인지도가 높은 만큼 해당 장치들을 전 세계에서 사용 중인 것을 확인 할 수 있다. 총 176개 국가가 시스코 IOS XE 웹 UI 장치를 사용 중인 것으로 보여진다. 그 중 미국이 9,599개로 가장 많이 나타났으며, 필리핀이 4,131개, 페루가 4,080개로 그 뒤를 이었다.
시스코 IOS XE 제로데이 장치 관련 자율 시스템 통계
Criminal IP Element Analysis 기능에서 as_name 필터를 이용하여 웹 UI 기능 관련 장치를 사용 중인 자율 시스템 통계를 확인할 수 있다.
통계 결과, 상위권에 등재된 자율 시스템들은 가정과 기업에 인터넷 서비스를 제공하는 ISP 제공 업체가 집계되었다. 필리핀 통신사 globe telecoms가 2,607개로 가장 많이 나타났으며, 칠레 통신사 ctc. corp s.a. telefonica empresas가 2,334개, 페루 통신사 america movil peru s.a.c.가 2,113개로 그 뒤를 이었다.
현재 시스코 IOS XE 웹 UI 제로데이 취약점은 보안 패치가 발표되지 않은 상태이며, 이 취약점을 악용한 또 다른 공격 가능성에 관한 연구 조사가 진행되고 있다. 시스코 IOS XE 장치 사용자라면 상시로 공식 사이트의 최신 보안 권고 사항을 체크해 볼 것을 권장한다.
관련하여 MOVEit 제로데이: 데이터 유출 공격에 노출된 서버 탐지 글을 참고할 수 있다.
이 리포트는 사이버위협인텔리전스 검색엔진 Criminal IP의 데이터를 바탕으로 작성되었습니다. 지금 바로 Criminal IP 무료 계정을 생성하면 리포트에 인용된 검색 결과를 직접 확인하거나, 더 방대한 위협 인텔리전스를 자유롭게 검색할 수 있습니다.
데이터 출처 : Criminal IP(https://www.criminalip.io/ko)
관련 글 :
댓글 남기기