목차
Cisco Smart Software Manager On-Prem(SSM On-Prem)에서 발견된 CVE-2024-20419 취약점이 IT 관리자들의 주목을 받고 있다. 이 취약점은 인증 시스템의 비밀번호 변경 프로세스가 제대로 구현되지 않아 발생하며, 원격 공격자가 관리자를 포함한 모든 사용자의 비밀번호를 변경할 수 있게 한다. 이를 통해 공격자는 웹 UI나 API에 접근하여 사용자 권한으로 시스템을 조작할 수 있다.
해당 취약점은 CVSS 점수 10.0으로 평가되었으며, Cisco는 이미 소프트웨어 업데이트를 통해 이를 해결했다. 그러나 아직 패치를 적용하지 않은 시스템은 높은 위험에 노출되어 있다. 본 블로그에서는 이 취약점의 상세 정보와 발생 가능한 피해, 그리고 대응 방법에 대해 알아본다.
취약 제품 및 취약점 정보
취약 제품 상세
이번에 발견된 취약점은 Cisco SSM On-Prem(Smart Software Manager On-Prem)과 Cisco SSM Satellite(Smart Software Manager Satellite)에 영향을 미친다. 이 두 제품은 같은 소프트웨어로, 7.0 버전 이전에는 SSM Satellite로 불렸고, 7.0 버전 이후부터는 SSM On-Prem으로 명명되었다.
취약한 제품 목록
- Cisco Smart Software Manager On-Prem
- 8-202206 및 이전 버젼
- Cisco Smart Software Manager Satellite
- 모든 버전
CVE-2024-20419 취약점 정보
이 취약점은 Cisco SSM의 인증 시스템에서 비밀번호 변경 프로세스가 부적절하게 구현된 결과로 발생했다. 구체적으로, 시스템이 HTTP 요청을 적절히 검증하지 않기 때문에 공격자가 임의의 사용자(관리자 포함)의 비밀번호를 변경할 수 있다.
알려진 공격 방법으로는 공격자가 특수하게 조작된 HTTP 요청을 영향을 받는 장치에 전송하여 이 취약점을 악용할 수 있다. 공격 성공 시, 웹 UI 또는 API에 접근할 수 있는 권한을 부여하며, 이를 통해 시스템을 조작하거나 민감한 데이터를 탈취할 수 있다.
Cisco는 이미 이 문제를 해결하기 위한 소프트웨어 업데이트를 발표했으며, 사용자는 즉시 패치를 적용해야 한다. 자세한 내용은 Cisco 보안 권고문에서 확인할 수 있다.
발생 가능한 피해 및 위험성
이번 취약점을 악용하면 여러 가지 심각한 피해가 발생할 수 있다.
- 관리자 권한 탈취
공격자는 관리자 계정을 포함해 모든 사용자의 비밀번호를 변경하고 해당 계정으로 로그인할 수 있게 된다. 이는 시스템 전체에 대한 제어권을 잃게 되는 것을 의미한다. - 데이터 유출
민감한 기업 정보나 개인 데이터가 외부로 유출될 가능성이 높아진다. - 서비스 중단
공격자는 서비스 거부(DoS) 공격을 감행하거나 중요한 서비스 기능을 중단시킬 수 있다. - 기업 신뢰도 하락
이러한 보안 사고는 기업의 신뢰도를 떨어뜨리며, 고객 및 파트너와의 관계에도 부정적인 영향을 미칠 수 있다.
따라서 IT 관리자들은 즉시 해당 소프트웨어 업데이트를 적용하고, 지속적으로 보안 상태를 점검해야 한다.
취약점 점검 및 대응
취약 여부 점검 방법
Cisco SSM장비의 취약점을 확인하려면 먼저 사용 중인 소프트웨어 버전을 확인해야 한다. Cisco의 공식 사이트에서 제공하는 공식 보안 권고문에서 해당 취약점이 영향을 미치는 버전 목록을 참조할 수 있다. 영향을 받는 버전은 8-202206 이전 버전이다.
다음과 같은 방법으로 버전 및 취약 여부를 확인할 수 있다.
- 관리 콘솔 접근
Cisco SSM On Prem 관리 콘솔에 로그인하여 현재 소프트웨어 버전을 확인한다. - 로그 파일 분석
비정상적인 HTTP 요청이나 비밀번호 변경 시도가 있는지 로그 파일을 분석한다. - 취약점 스캐너 사용
최신 취약점 데이터베이스를 업데이트한 후, 네트워크 스캐너를 사용해 시스템을 점검한다.
위의 방법들을 통해 시스템이 해당 취약점에 노출되어 있는지 확인할 수 있다. 만약 의심스러운 활동이 발견되면 즉시 대응 조치를 취해야 한다.
침해 지표(IoC) 정보
현재 CVE-2024-20419와 관련된 구체적인 침해 지표(Indicators of Compromise, IoC)는 공개되지 않았다. 그러나 본 취약점의 공격 방식에 따라, 비밀번호 변경과 관련된 활동을 모니터링하는 것이 중요하다.
다음과 같은 일반적인 IoC를 참고할 수 있다.
- 비정상적인 로그인 시도
관리자 계정을 포함한 여러 사용자 계정에서 비정상적으로 많은 로그인 시도가 기록될 경우. - 비밀번호 변경 기록
사용자 계정의 비밀번호가 예기치 않게 변경된 경우. - HTTP 요청 로그
특수하게 조작된 HTTP 요청이 다수 발견되는 경우.
침해 지표가 발견되면 즉시 시스템 관리자에게 알리고, 추가 조사를 통해 침해 여부를 확인해야 한다.
침해 확인시 대응 방법
침해가 확인되면 다음과 같은 단계로 대응할 수 있다.
- 계정 잠금 및 비밀번호 재설정
모든 사용자 계정을 잠그고, 특히 관리자 계정의 비밀번호를 강력한 새 비밀번호로 재설정한다. - 로그 분석 및 포렌식 조사
시스템 로그와 네트워크 트래픽을 분석하여 공격자의 흔적을 추적하고, 추가적인 침해 여부를 조사한다. - 취약점 패치 적용
가능한 한 빨리 Cisco에서 제공하는 소프트웨어 업데이트를 적용하여 취약점을 해결한다. - 보안 정책 강화
향후 유사한 공격을 방지하기 위해 보안 정책을 강화하고, 사용자 교육을 실시한다.
Cisco는 관련 보안 권고문에서 제공하는 절차에 따라 패치를 적용하고, 필요한 경우 기술 지원팀에 연락할 것을 권장하고 있다.
패치 적용 또는 완화 방법
Cisco는 이번 취약점을 해결하기 위한 소프트웨어 업데이트를 이미 배포했다. 영향을 받는 사용자는 즉시 해당 패치를 적용해야 한다. 패치는 Cisco Support and Downloads 페이지에서 다운로드할 수 있으며, 서비스 계약이 없는 고객도 무료로 이용 가능하다.
패치 적용 절차는 다음과 같다
- 소프트웨어 다운로드
Cisco 공식 사이트에서 최신 소프트웨어 업데이트 파일을 다운로드한다. - 백업 수행
기존 설정과 데이터를 백업하여 만일의 사태에 대비한다. - 업데이트 설치
관리 콘솔을 통해 다운로드한 소프트웨어 업데이트 파일을 설치하고 시스템을 재부팅한다. - 설치 확인
설치 후 시스템 정보를 다시 확인하여 업데이트가 정상적으로 완료되었는지 검증한다.
만약 즉시 패치를 적용할 수 없는 상황이라면, 네트워크 방화벽 규칙을 강화하거나 특정 포트를 차단하는 등의 임시 완화 조치를 고려할 수 있다. 더 자세한 내용은 Cisco의 보안 권고문 페이지에서 확인 가능하다.
참고자료
- Cisco Security Advisory: Cisco Smart Software Manager On-Prem Password Change Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cssm-auth-sLw3uhUy - NVD: CVE-2024-20419
https://nvd.nist.gov/vuln/detail/CVE-2024-20419