CVE-2023-20198 탐지: Cisco IOS XE 제로 데이 취약점, 지속적으로 임플란트 설치에 악용됨

Balada Injector 캠페인의 오랜 진행에 따른 새로운 급증에 뒤이어 CVE-2023-3169 취약점을 악용하여, 인기 있는 소프트웨어 제품에서 또 다른 심각한 보안 버그가 주목받고 있습니다. Cisco IOS XE 소프트웨어에 영향을 미치는 새로운 권한 상승 취약점이 실제로 악용되어 영향을 받은 장치에 임플란트를 설치하는 데 도움이 됩니다.

CVE-2023-20198로 알려진 발견된 제로데이는 원격 및 인증되지 않은 공격자가 손상된 시스템에서 권한 수준 계정을 생성할 수 있게 합니다. 현재 패치가 제공되지 않아 CVE-2023-20198는 잠재적으로 해킹된 인스턴스에 심각한 보안 위험을 초래합니다. 

CVE-2023-20198 악용 시도를 탐지하십시오

오늘날의 빠르게 진화하는 위협 환경에서는 비즈니스 관련 응용 프로그램에 존재하는 취약점을 활용하여 조직 인프라의 방어를 침해하려는 공격자가 점점 더 많이 나타나고 있습니다. 위협 탐지에 대한 적극적이고 민첩한 접근 방식이 필요합니다. SOC Prime 플랫폼은 SOC 팀의 사이버 방어 능력과 효율성을 향상시키기 위해 맞춤화된 다양한 강력한 사이버 보안 도구를 제공합니다.

새로운 위협에 앞서기 위해 실시간 위협 인텔리전스를 탐구하십시오. SOC Prime은 CVE-2023-20198 악용 시도에 대한 방어를 강화하기 위해 악성 내부 임플란트 또는 환경 내 취약점을 탐지하려는 내부 공격자와 관련이 있을 수 있는 의심스러운 웹 요청 패턴을 식별하는 Sigma 규칙을 제공합니다. 탐지는 MITRE ATT&CK® 프레임워크 에 매핑되고, 조사를 간소화하기 위해 광범위한 메타데이터가 함께 제공됩니다.

CVE-2023-20198 (Cisco IOS XE 소프트웨어 웹 UI 권한 상승 취약점) 악용 패턴 (프록시를 통한)

이 규칙은 Lateral Movement 전술과 Remote Services (T1210) 기술의 악용을 다루며, 18개의 SIEM, EDR, XDR, 및 Data Lake 기술을 지원합니다.

위협 조사 강화를 위해 SOC Prime 사용자는 또한 장치에서 의심스러운 계정을 식별하여 CVE-2023-20198 악용 시도를 탐지하는 데 도움을 주는 Sigma 규칙을 활용할 수 있습니다 (참고: 장치 공급자가 제공한 IOC 목록). 특히, 이 규칙의 일부는 관리자 활동에 사용 중인 모든 합법적인 계정을 제외하도록 최종 사용자가 업데이트해야 합니다 (자리표에는 placeholder_for_legit_account1, placeholder_for_legit_account2, 등이 포함됩니다).

CVE-2023-20198 (Cisco IOS XE 소프트웨어 웹 UI 권한 상승 취약점) 악용 패턴 (키워드를 통한)

이 규칙은 xx 보안 분석 솔루션과 호환되며, Initial Access 및 Lateral Movement 전술에 대응하여 Public-Facing Application (T1190) 및 Remote Services (T1210) 악용 기술에 매핑됩니다.

새로운 및 심각한 취약점에 대한 전체 탐지 스택을 탐색하려면 아래 탐지 탐색 버튼을 누르십시오. 모든 규칙에는 위협 조사를 강화하기 위한 광범위한 사이버 위협 컨텍스트 및 CTI 가 함께 제공됩니다.

탐지 탐색

CVE-2023-20198 분석

Cisco는 최근 보안 권고문을 발표하여 이전에 공개되지 않은 CVE-2023-20198 제로데이 취약점의 실제 악용을 확인했습니다. 해당 보안 공지에 제공된 권장 사항은 확립된 모범 사례와 일치하며 사이버 보안 지침 에 따라 인터넷에 노출된 관리 인터페이스의 위험 감소를 위한 미국 정부에 의해 이전에 발행되었습니다.

새롭게 발견된 보안 버그는 Cisco IOS XE 소프트웨어의 웹 UI 기능에 영향을 미치며 CVSS 가능한 최고 점수인 10.0을 보유하고 있습니다. 권한 상승 취약점을 성공적으로 악용하면 시스템이 다시 로드되고 구성 파일이 수정되어 공격자가 계정을 악용하고 시스템을 더 이상 제어할 수 있습니다. Cisco의 Talos 유닛은 9월 28일에 CVE-2023-20198을 대상으로 한 공격의 흔적을 처음으로 발견했으며, 관련 활동은 9월 18일까지 거슬러 올라갑니다. 이는 고객 장치에서 발생한 비정상 활동에 대한 조사의 결과로 발견되었습니다.

10월 12일에 연구원들은 동일한 해킹 집단과 연결될 수 있는 일련의 별도 활동을 감지했습니다. 9월 사건과 달리 이 후자의 경우 Lua 기반 임플란트 배포도 포함되었습니다. 이 임플란트는 비지속적이며, 장치가 재부팅될 경우 제거된다는 것을 의미합니다. 그러나 새로 생성된 로컬 사용자 계정은 시스템이 재부팅되어도 여전히 작동합니다. 이 새로운 사용자 계정은 레벨 15 권한을 가지고 있으며, 장치에 대한 완전한 관리자 액세스를 제공합니다.

CVE-2023-20198를 악용하려는 시도가 성공할 수 있는 경우 시스템이 인터넷 또는 안전하지 않은 네트워크에서 접근이 가능할 때입니다. 드러난 보안 버그는 HTTP 또는 HTTPS 서버 기능이 활성화된 Cisco IOS XE 소프트웨어가 실행되는 인스턴스에 영향을 미칩니다.

이 취약점을 해결하기 위한 수정 또는 해결 방법이 없는 상황에서, Cisco는 침입을 방지하기 위해 인터넷에 노출된 시스템에서 HTTP 서버 기능을 비활성화할 것을 권장합니다.

VulnCheck 는 공개적으로 액세스 가능한 Cisco IOS XE 웹 인터페이스에 대한 스캔을 수행하여 수천 개의 손상된 호스트를 발견했습니다. IOS XE 시스템에 대한 권한 증가 액세스는 잠재적으로 공격자가 네트워크 트래픽을 모니터링하고 안전한 네트워크로 침입하며 다양한 중간자 공격을 수행할 수 있게 합니다.

영향을 받는 인스턴스 목록에 대한 현재 데이터가 없는 가운데, 인터넷에 노출된 웹 UI가 있는 수천 개의 Cisco 장치가 CVE-2023-20198 악용 시도에 노출될 수 있습니다. 패치가 아직 발표되지 않은 상황에서 조직들은 CVE-2023-20198에 대한 효율적 보호를 찾고 있으며, 이와 함께 위협 탐지 마켓플레이스 를 활용하여 최신 위협과 제로데이에 관한 행위 기반 탐지 알고리즘과 컨텍스트글로벌 피드를 사용하여 항상 앞서 나가십시오.