Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보[CVE-2017-3881] Cisco IOS RCE 취약점 분석
작성일 2017-04-11 조회 1291

 

1. 개요

Cisco IOS 및 IOS XE 소프트웨어에는 원격 코드 실행 취약점이 존재한다.
해당 취약점은 Cisco Cluster Management Protocol (CMP) 처리 코드의 취약점으로 인해 발생하며,
CMP 처리 코드가 내부적으로만 사용 가능한게 아니라, 텔넷 연결을 통해서도 사용 가능하여 원격의 공격자가 임의의 코드 실행이 가능하다.
취약버전 : Cisco Ios Xe 15.0(2)SE10, Cisco Ios 15.0(2)SE10

 

2. 확인 내역

해당 취약점은 3월 17일 시스코 홈페이지를 통해 공개 되었다.
- 해당 페이지에서 공개한 내용에는 취약점에 대한 자세한 정보는 제공하지 않음
- WikiLeaks 에서 공개한 Vault7 CIA 문서를 기반
이후에 4월 10일 "Artem Kondratenko" 에서 POC 코드와 함께 상세 확인 내역을 공개하였다.

[그림1. Artem Kondratenko POC 내역]

 

공개한 내역을 확인해보면 취약점은 두번째 "%s" 문자열의 데이터는 경계값 검사 없이 전송되게 되어 BOF가 발생하게 된다.

[그림2. 출처 : https://artkond.com/2017/04/10/cisco-catalyst-remote-code-execution/]

 

이후에는 ROP Chain을 이용하여 원격 코드가 실행되게 하였다.

[그림3. 출처 : https://artkond.com/2017/04/10/cisco-catalyst-remote-code-execution/]

 

3. POC 코드 확인

[그림2]에서 확인한 두번째 "%s" 문자열에 BOF를 발생시키기 위해 "A" 문자열을 이용하여 BOF를 발생 시킨다.

[그림4. POC 패킷 발생 내역(BOF)]

 

4. 정리

본 게시글에서 Cisco IOS RCE 취약점에 대해 알아보았다.
POC 코드의 경우 해당 취약점을 이용하여 오버플로우를 일으킨 후에 ROP Chain을 이용하여 스위치의 원격 쉘을 획득 하였다.
해당 POC 코드를 이용하여 스위치의 쉘 획득이 가능하므로, 각별한 주의가 필요하다.
현재 벤더사에서 패치 진행 예정이므로, 현재 상황에서는 해당 취약점을 해결할 방법이 존재하지 않는다.
벤더사에서 패치를 공개하기 전까지는 취약제품을 사용하는 경우 Telnet 서비스를 비활성화 하여야 한다.

 

5. 대응 방안

1) 시스코 장비에서 Telnet을 비활성화 한다.
http://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html

 

2) Sniper IPS에서는 아래와 같은 패턴으로 대응 가능하다.

[IPS 패턴블럭] : 3476, Cisco IOS and IOS XE Software CISCO_KITS RCE

 

3) Snort 패턴은 시큐어캐스트에서 확인 가능하다.

 

6. 참고

https://artkond.com/2017/04/10/cisco-catalyst-remote-code-execution/
https://github.com/artkond/cisco-rce/
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170317-cmp
https://wikileaks.org/ciav7p1/cms/page_24969226.html

 

첨부파일 첨부파일이 없습니다.
태그 CVE-2017-3881  Cisco IOS  시스코  CMP  Vault7