Cisco Secure Access Control System의 여러 취약성 식별 및 완화

업데이트:2016년 8월 6일 (토)
문서 ID:1470489900942150

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

Cisco Applied Mitigation 게시판

Cisco Secure Access Control System의 여러 취약성 식별 및 완화

문서 ID:
32120
최초 게시일:
2014년 1월 15일 16:16(GMT)
버전: 
1
CVE-2014-0648
CVE-2014-0649
CVE-2014-0650
CVE-2014-0648
CVE-2014-0649
CVE-2014-0650

Cisco의 대응

  • 이 Applied Mitigation Bulletin은 Cisco Secure Access Control System의 PSIRT Security Advisory Multiple Vulnerabilities에 대한 보조 문서이며 관리자가 Cisco 네트워크 장치에 구축할 수 있는 식별 및 완화 기술을 제공합니다.

취약성 특성

  • Cisco Secure ACS(Access Control System)에는 RMI(Remote Method Invocation) IP 버전 4(IPv4) 패킷을 처리할 때 취약성이 포함되어 있습니다. 이러한 취약점은 인증 없이 원격으로 악용될 수 있으며 최종 사용자의 상호 작용이 필요합니다. 이러한 취약점을 성공적으로 악용하면 임의의 코드 실행이 허용됩니다. Cisco Secure ACS는 ACS 서버 간의 데이터 및 컨피그레이션 복제에 RMI를 사용합니다. 따라서 이 문서의 ACL(Access Control List)은 신뢰할 수 있는 Cisco Secure ACS 서버 간에 적용할 수 있습니다. 클라이언트 시스템은 이러한 TCP 포트에 액세스할 필요가 없습니다.

    익스플로잇을 위한 공격 벡터는 다음 프로토콜과 포트를 사용하는 IPv4 패킷을 통해 이루어집니다.

    • TCP 포트 2020을 사용하는 RMI
    • TCP 포트 2030을 사용하는 RMI

취약성 개요

  • 취약한 소프트웨어, 영향을 받지 않는 소프트웨어, 그리고 고정된 소프트웨어에 대한 정보는 Cisco Security Advisory에서 확인할 수 있습니다. Cisco Security Advisory는 다음 링크에서 확인할 수 있습니다. https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20131023-acs

완화 기법 개요

  • Cisco 디바이스는 이러한 취약성에 대한 몇 가지 대응책을 제공합니다. 관리자는 이러한 보호 방법을 인프라 디바이스 및 네트워크를 이동하는 트래픽에 대한 일반적인 보안 모범 사례로 고려하는 것이 좋습니다. 이 문서에서는 이러한 기술에 대한 개요를 제공합니다.

    Cisco Secure ACS는 다중 서버 구축에서 컨피그레이션 정보 및 데이터 복제를 위해 TCP 포트 2020 및 2030에서 RMI를 사용합니다. 따라서 아래 ACL 예의 신뢰할 수 있는 주소에는 Cisco Secure ACS 주소가 포함됩니다. 클라이언트는 RMI 포트에 액세스할 필요가 없습니다.

    Cisco IOS Software는 tACL(Transit Access Control List)을 사용하여 효과적인 익스플로잇 방지 수단을 제공할 수 있습니다. 이 보호 메커니즘은 이러한 취약성을 악용하려는 패킷을 필터링하고 삭제합니다.

    Cisco ASA 5500 Series Adaptive Security Appliance, Cisco Catalyst 6500 Series ASASM(ASA Services Module), tACL(Transit Access Control List)을 사용하는 Cisco Catalyst 6500 Series 스위치 및 Cisco 7600 Series 라우터용 FWSM(Firewall Services Module)에서도 효과적인 익스플로잇 방지를 제공할 수 있습니다. 이 보호 메커니즘은 이러한 취약성을 악용하려는 패킷을 필터링하고 삭제합니다.

위험 관리

  • 조직은 이러한 취약성의 잠재적 영향을 판단하기 위해 표준 위험 평가 및 완화 프로세스를 따르는 것이 좋습니다. 분류(Triage)란 성공 가능성이 가장 높은 프로젝트를 분류하고 노력을 우선 순위를 정하는 것을 말한다. Cisco는 조직이 정보 보안 팀을 위해 위험 기반 분류 기능을 개발하는 데 도움이 될 문서를 제공했습니다. 보안 취약성 알림에 대한 위험 분류위험 분류 및 프로토타이핑은 조직이 반복 가능한 보안 평가 및 대응 프로세스를 개발하는 데 도움이 될 수 있습니다.

디바이스별 완화 및 식별

  • 디바이스별 완화 및 식별

    주의: 모든 완화 기법의 효과는 제품 혼합, 네트워크 토폴로지, 트래픽 동작, 조직 임무 등 특정 고객 상황에 따라 달라집니다. 모든 컨피그레이션 변경과 마찬가지로, 변경 사항을 적용하기 전에 이 컨피그레이션의 영향을 평가합니다.

    완화 및 식별에 대한 구체적인 정보를 다음 장치에 사용할 수 있습니다.

    Cisco IOS 라우터 및 스위치

    완화: 통과 액세스 제어 목록

    인터넷 연결 지점, 파트너 및 공급업체 연결 지점 또는 VPN 연결 지점이 포함될 수 있는 인그레스 액세스 지점에서 네트워크로 들어오는 트래픽으로부터 네트워크를 보호하려면 관리자가 tACL(transit access control list)을 구축하여 정책 시행을 수행하는 것이 좋습니다. 관리자는 승인 받은 트래픽만 인그레스 액세스 포인트에서 네트워크에 들어가도록 명시적으로 허용하거나 기존 보안 정책 및 컨피그레이션에 따라 인증 받은 트래픽이 네트워크를 통과하도록 허용하여 tACL을 구성할 수 있습니다. tACL 해결 방법은 공격이 신뢰할 수 있는 소스 주소에서 시작되는 경우 이러한 취약성에 대한 완벽한 보호를 제공할 수 없습니다.

    tACL 정책은 영향을 받는 디바이스로 전송되는 TCP 포트 2020 및 2030의 무단 IPv4 패킷을 거부합니다. 다음 예에서 192.168.60.0/24은 영향을 받는 ACS 디바이스에서 사용하는 IP 주소 공간을 나타내며 192.168.100.1의 호스트는 영향을 받는 디바이스에 액세스해야 하는 신뢰할 수 있는 Cisco Secure ACS 서버로도 간주됩니다. 모든 무단 트래픽을 거부하기 전에 라우팅 및 관리 액세스에 필요한 트래픽을 허용하도록 주의해야 합니다.

    tACL에 대한 추가 정보는 트랜짓 액세스 제어 목록(Transit Access Control List)에 있습니다. Cisco IOS Software를 사용하여 에지에서 필터링 보안 완화 효과 파악.

    ! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP ports !
access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 2020
access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 2030
! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks !
access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 2020
access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 2030
! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic !
access-list 150 deny ip any any
! ! ! !-- Apply tACL to interface in the ingress direction !
interface GigabitEthernet0/0
 ip access-group 150 in
    tACL에 대한 추가 정보가 트랜짓 액세스 제어 목록: 에지에서 필터링에 있습니다.

    Cisco ASA, Cisco ASASM 및 Cisco FWSM 방화벽

    완화: 통과 액세스 제어 목록

    인터넷 연결 지점, 파트너 및 공급업체 연결 지점 또는 VPN 연결 지점이 포함될 수 있는 인그레스 액세스 지점에서 네트워크로 들어오는 트래픽으로부터 네트워크를 보호하려면 관리자가 tACL(transit access control list)을 구축하여 정책 시행을 수행하는 것이 좋습니다. 관리자는 승인 받은 트래픽만 인그레스 액세스 포인트에서 네트워크에 들어가도록 명시적으로 허용하거나 기존 보안 정책 및 컨피그레이션에 따라 인증 받은 트래픽이 네트워크를 통과하도록 허용하여 tACL을 구성할 수 있습니다. tACL 해결 방법은 공격이 신뢰할 수 있는 소스 주소에서 시작되는 경우 이러한 취약성에 대한 완벽한 보호를 제공할 수 없습니다.

    tACL 정책은 영향을 받는 디바이스로 전송되는 TCP 포트 2020 및 2030의 무단 IPv4 패킷을 거부합니다. 다음 예에서 192.168.60.0/24은 영향을 받는 Cisco Secure ACS 디바이스에서 사용하는 IP 주소 공간을 나타내며 192.168.100.1의 호스트는 영향을 받는 디바이스에 액세스해야 하는 신뢰할 수 있는 Cisco Secure ACS 서버로도 간주됩니다. 모든 무단 트래픽을 거부하기 전에 라우팅 및 관리 액세스에 필요한 트래픽을 허용하도록 주의해야 합니다.

    Cisco 방화벽 명령줄 인터페이스를 사용하여 tACL의 효과를 평가하는 방법에 대한 자세한 내용은 Cisco Security 백서 Identification of Security Exploits with Cisco ASA, Cisco ASASM 및 Cisco FWSM Firewalls를 참조하십시오.

     ! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable TCP ports !
  access-list tACL-Policy extended permit tcp host 192.168.100.1 
     192.168.60.0 0.0.0.255 eq 2020
  access-list tACL-Policy extended permit tcp host 192.168.100.1 
     192.168.60.0 0.0.0.255 eq 2030
 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks !
  access-list tACL-Policy extended deny tcp any 192.168.60.0 0.0.0.255 eq 2020
  access-list tACL-Policy extended deny tcp any 192.168.60.0 0.0.0.255 eq 2030
 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic !
  access-list tACL-Policy extended deny ip any 192.168.60.0 0.0.0.255
 ! 
     ! ! !-- Apply tACL to interfaces in the ingress direction !    
  access-group tACL-Policy in interface outside

추가 정보

  • 이 문서는 "있는 그대로" 제공되며, 상품성 또는 특정 사용에 대한 적합성의 보증을 포함하여 어떤 종류의 보장 또는 보증도 의미하지 않습니다. 문서 또는 문서에 링크된 자료의 정보를 사용하는 것은 귀하의 책임입니다. CISCO RESERVES THE RIGHT TO CHANGE OR UPDATE THIS DOCUMENT AT ANY TIME.

이 게시판 관련

개정 이력

  • 버전 설명 섹션 날짜
    1 최초 릴리스 2014년 1월 15일 16:16(GMT)
    간단히 표시

Cisco 보안 절차

  • Cisco 제품의 보안 취약성 보고, 보안 사고에 대한 지원 요청, Cisco의 보안 정보 수신을 위한 등록 등에 대한 자세한 내용은 Cisco의 전 세계 웹 사이트(https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html)에서 확인할 수 있습니다. 여기에는 Cisco 보안 알림과 관련된 언론 문의에 대한 지침이 포함됩니다. 모든 Cisco 보안 권고 사항은 http://www.cisco.com/go/psirt에서 확인할 수 있습니다.

관련 정보

영향을 받는 제품

  • 보안 취약성은 다음과 같은 제품 조합에 적용됩니다.

    기본 제품
    Cisco Cisco Secure ACS(Access Control System) 5.1(기본, .0.44) | 5.2(기본, .0.26, .0.26.1, .0.26.2, .0.26.3, .0.26.4, .0.26.5, .0.26.6, .0.26.7, .0.26.8, .0.26.9, .0.26.10, .0.26.11) | 5.3(기본, .0.6, .0.40, .0.40.1, .0.40.2, .0.40.3, .0.40.4, .0.40.5, .0.40.6, .0.40.7) | 5.4 (.0.46.0a, .0.46.1, .0.46.2, .0.46.3)


    관련 제품

이 게시판 관련