19,000개 이상 시스코 VPN 라우터가 원격 명령 실행 익스플로잇 체인을 대상으로 하는 공격에 노출되어 있다고 브리핑컴퓨터가 보도했다. 

보도 내용에 따르면, 지난주 공개된 2개 보안 결함을 연결해 위협 행위자는 시스코 Small Business RV016, RV042, RV042G, RV082 라우터 기본 운영 체제에서 인증을 우회(CVE-2023-20025)하고 임의 명령을 실행(CVE-2023-2002)할 수 있다고 전했다.

인증되지 않은 공격자는 루트 권한 접근을 얻기 위해 취약한 라우터의 웹 기반 관리 인터페이스로 전송되는 조작된 HTTP 요청을 통해 심각한 인증 우회 결함을 원격으로 악용할 수 있다.

시스코는 CVE-2023-20025를 중요 취약점으로 평가했고, Product Security Incident Response Team (PSIRT)가 in the wild에서 사용 가능한 개념 증명 익스플로잇 코드를 인지하고 있다고 설명했다. 

그럼에도 불구하고 회사는 “이 취약점을 해결하는 소프트웨어 업데이트를 출시하지 않았고, 앞으로도 출시하지 않을 것”이라고 말했다. 시스코는 해당 익스플로잇 체인이 공격에 악용되고 있다는 증거를 찾지 못했다.

보안 업체 Censys는 온라인에서 거의 2만개에 달하는 RV016, RV042, RV042G 및  RV082 라우터를 발견했다. 'WWW-Authenticate' 응답 헤더에 모델 번호가 포함된 HTTP 서비스 또는 일치하는 TLS 조직 단위를 가진 HTTP 서비스만 살펴본 결과, Censys 검색 결과는 약 2만개 호스트가 이 공격에 잠재적으로 취약하다는 결론을 내렸다.

4개의 취약한 모델 중 RV042는 12,000개 이상 호스트가, RV082와 RV042는 3,500개,  RV016은 784개가 인터넷에 노출되어 있다.

시스코는 “이러한 취약점을 해결하는 방법은 없다”며, 사용자는 웹 기반 관리 인터페이스를 비활성화하고 포트 443 및 60443에 대한 액세스를 차단하여 악용 시도 공격으로부터 장치를 보호할 수 있다고 밝혔다.

사용자는 취약한 각 라우터의 웹 관리 인터페이스에 로그인하고 방화벽 > 일반으로 이동 후, 원격 관리 확인란을 선택 취소해야 한다. 시스코는 포트 443 및 60443에 접근 차단에 대한 자세한 지침을 제공하고 있다.

영향 받는 라우터는 계속 액세스할 수 있고, 위 완화 조치를 적용한 후 LAN 인터페이스를 통해 구성할 수 있다.

시스코는 또한 9월에 여러 EoL 라우터에 영향을 미치는 중요한 인증 우회 결함을 수정하지 않을 것이며, 사용자에게 아직 지원 중인 RV132W, RV160, 또는  RV160W 라우터로 변경할 것을 권고한 바 있다. 6월에도 미패치 상태로 남아 있는, 수명이 종료된 다른 VPN라우터 시리즈에서 발견된 중요한 원격 코드 실행 취약점을 공개했고 사용자들에게 새로운 라우터 모델로 마이그레이션 할 것을 권장했었다.

★정보보안 대표 미디어 데일리시큐!