FBI 경고: 러시아 해커, 오래된 시스코 취약점 악용

최근 미국 연방수사국(FBI)은 러시아 정부 지원을 받는 해커들이 오래된 시스코 취약점을 악용하여 서방 기관을 염탐하고 있다는 경고를 발표했습니다. 이들은 특히 중요 인프라 부문을 집중적으로 노리고 있으며, 관련 기관들은 즉각적인 보안 강화에 나서야 합니다.

러시아 해커 조직, CVE-2018-0171 취약점 악용

FBI의 공공 서비스 발표에 따르면, 러시아 연방 보안국(FSB)과 연계된 것으로 알려진 Center 16이라는 위협 행위자가 SNMP(Simple Network Management Protocol)와 수명이 다한 시스코 Smart Install (SMI) 인스턴스의 취약점을 악용하고 있습니다. 이들의 목표는 미국을 포함한 전 세계의 기관을 광범위하게 표적으로 삼는 것입니다.

CVE-2018-0171: 7년 된 취약점의 위험성

이번에 악용되고 있는 취약점은 CVE-2018-0171로, 약 7년 전에 발견되었습니다. 이 취약점은 시스코 IOS 소프트웨어 및 시스코 IOS XE 소프트웨어의 Smart Install 기능에서 패킷 데이터의 부적절한 유효성 검사로 인해 발생합니다. 인증되지 않은 원격 공격자는 이 취약점을 이용하여 영향을 받는 장치를 재부팅하도록 트리거하여 임의의 코드 실행 또는 서비스 거부(DoS) 상태를 초래할 수 있습니다.

광범위한 시스코 장비에 영향

이 버그는 Catalyst 2000, 3000, 3650, 3850, 4500 및 9000 시리즈 모델을 포함한 광범위한 시스코 Catalyst 스위치에 영향을 미칩니다. 또한 시스코 산업용 이더넷 스위치와 Smart Install이 기본적으로 활성화된 일부 Nexus 데이터 센터 스위치도 영향을 받았습니다. 특히 Catalyst 2960, 3560, 3750, 4500E와 같은 구형 장치는 수명이 다해 이 버그에 대한 패치가 제공되지 않아 여전히 취약한 상태로 남아 있습니다.

구성 파일 탈취 및 무단 접근 시도

FBI는 지난 1년 동안 Center 16이 미국 기관, 특히 중요 인프라 부문에서 "수천" 개의 네트워킹 장치에 대한 구성 파일을 수집한 것을 확인했습니다. 공격자들은 일부 취약한 장치의 구성 파일을 수정하여 해당 장치에 대한 무단 액세스를 가능하게 했습니다. 이러한 무단 액세스를 통해 공격자들은 피해자 네트워크에서 정찰 활동을 수행했으며, 이를 통해 산업 제어 시스템과 일반적으로 관련된 프로토콜 및 애플리케이션에 대한 관심을 드러냈습니다.

시스코의 권고: 최신 모델로 교체

시스코는 사용자들에게 구형 장치를 Catalyst 9000 시리즈와 같이 활성 제품 라인인 최신 모델로 교체할 것을 권고합니다. 또한 최신 보안 패치를 적용하고 네트워크 보안을 강화하여 잠재적인 위협으로부터 보호해야 합니다.

결론

러시아 해커들의 시스코 취약점 악용은 심각한 보안 위협입니다. 기업과 기관은 즉시 취약점을 점검하고, 영향을 받는 장치를 최신 모델로 교체하거나 패치를 적용하여 보안을 강화해야 합니다. 또한 네트워크 모니터링을 강화하고, 의심스러운 활동을 탐지하기 위한 노력을 기울여야 합니다.