Cisco는 인증되지 않은 공격자가 여러 제품의 TLS 검사 필터링 기술을 우회하여 고객 네트워크 내부의 이전에 손상된 서버에서 데이터를 유출할 수 있다고 말했다.
이러한 공격에서 위협 행위자는 SNI(Server Name Identification) 요청 필터링의 취약성을 이용하여 3000 Series Industrial Security Appliance(ISA), FTD(Firewall Threat Defense) 및 WSA(Web Security Appliance) 제품에 영향을 미칠 수 있다.
Cisco는 "SNIcat이나 이와 유사한 도구를 사용하면 차단된 목록의 서버에서 반환 서버 hello 패킷이 필터링되지 않기 때문에 원격 공격자가 SSL 클라이언트 hello 패킷에서 데이터를 유출할 수 있다"고 설명했다.
"이 통신은 손상된 호스트에 대해 명령 및 제어 공격을 실행하거나 추가 데이터 유출 공격을 수행하는 데 사용할 수 있다."
지금까지 Cisco PSIRT(제품 보안 사고 대응 팀)는 이 보안 결함을 악용하는 공격자나 맬웨어를 인식하지 못했다.
SNIcat(Server Name Indication Concatenator)은 TLS Client Hello 패킷을 통해 보안 경계 솔루션 및 TLS 검사 장치(예: 웹 프록시, 차세대 방화벽(NGFW))를 우회하는 mnemonic Labs 보안 연구원이 발견한 은밀한 유출 방법이다.
연구진은 "SNICat의 유출 방법을 사용하여 우리가 사용하는 C2(명령 및 제어) 도메인이 보안 솔루션 자체에 내장된 일반적인 평판 및 위협 방지 기능에 의해 차단되더라도 TLS 검사를 수행하는 보안 솔루션을 우회할 수 있음을 발견했다. 간단히 말해서, 우리는 사용자를 보호하도록 설계된 솔루션이 새로운 취약성을 유발한다는 사실을 발견했다"고 말했다.
[그림 1. 보안 솔루션의 작동 순서]
Cisco 외에도, mnemonic Labs는 F5 Networks(SSL Orchestrator 5.5.8을 사용하여 TMOS 14.1.2를 실행하는 F5 BIG-IP), Palo Alto Networks(PAN-OS 9.1.1을 실행하는 Palo Alto NGFW), Fortine(FortiOS 6.2.3을 실행하는 Fortigate NGFW)의 제품에 대해 SNIcat을 성공적으로 테스트했다.
연구원들은 또한 손상된 호스트의 에이전트와 유출된 데이터를 수집하는 명령 및 제어 서버를 사용하여 SNI 비밀 채널을 통해 이전에 해킹된 서버에서 데이터를 추출하는 데 도움이 되는 개념 증명 도구를 개발했다.
Cisco는 "Cisco는 이 취약점의 영향을 받을 수 있는 제품을 확인하기 위해 자사 제품군을 조사하고 있으며, 조사가 진행됨에 따라 시스코는 이 권고 사항을 해당 제품에 대한 정보로 업데이트할 것이다"라고 덧붙였다.
출처
https://www.bleepingcomputer.com/news/security/hackers-can-bypass-cisco-security-products-in-data-theft-attacks/
