네트워크 / 데이터센터 / 보안

시스코, 하이퍼플렉스 보안 취약점 경고

Michael Cooney | Network World 2019.02.22
시스코의 하이퍼컨버전스 데이터센터 장비인 하이퍼플렉스(HyperFlex)는 명령 주입(command-injection) 공격을 허용할 수 있다. 
 
ⓒ Getty Images Bank 

시스코는 하이퍼플렉스 데이터센터 패키지에서 공격자가 시스템을 제어할 수 있는 2가지 중요한 보안 취약점을 확인했다. 하이퍼플렉스는 하나의 시스템에서 컴퓨팅, 네트워킹, 스토리지 자원을 모두 제공하는 시스코의 하이퍼컨버전스 인프라스트럭처다.
 
이번 두 가지 취약점 가운데 시스코가 1~10의 심각도에서 8.8점을 준 취약점은 인증되지 않은 공격자가 루트 사용자로 명령을 실행할 수 있게 하는 시스코 하이퍼플렉스 소프트웨어의 클러스터 서비스 관리자에서 명령 주입 취약점이다.
  
시스코는 보안 권고에서 "공격자는 이 취약점을 악용해 클러스터 서비스 관리자에 연결하고 명령을 바운드 프로세스(bound process, 연산은 적지만 I/O 수행 시간이 많은 프로세스)에 주입할 수 있다고 전했다. 시스코는 이 취약점이 3.5 이전의 시스코 하이퍼플렉스 소프트웨어 릴리스에서 불충분한 입력 검증으로 인한 것이라고 밝혔다. 

이런 입력은 프로그램의 제어 흐름이나 데이터 흐름에 영향을 줄 수 있으며, 많은 자원 제어 문제를 야기할 수 있다. 시스코는 이 취약점을 해결하기 위한 소프트웨어 업데이트를 발표했으며, 업데이트 이외에 이 취약점을 해결할 수 있는 다른 방법은 없다고 전했다. 

시스코가 8.1로 평가한 두 번째 취약점은 시스코 하이퍼플렉스 소프트웨어의 hxterm 서비스에 있는 취약점으로, 공격자가 특권이 없는 로컬 사용자로 서비스에 연결할 수 있다. 보안 권고에 따르면, 공격자는 악의적인 공격을 통해 3.5 이전의 시스코 하이퍼플렉스 소프트웨어 릴리스에서 하이퍼플렉스 클러스터의 모든 구성원 노드에 대한 루트 접속 권한을 얻을 수 있다. 

시스코는 이 두 가지 취약점을 해결하는 소프트웨어 업데이트를 발표했다. 고객은 시스코 사이트에서 다운로드할 수 있다. 

또한 시스코는 XSS(Cross-Site Scripting), 임의의 데이터(arbitrary data), 그라파이트(Graphite) 서비스 약점과 관련된 하이퍼플렉스 소프트웨어에 대한 3가지 다른 '중간' 단계의 위협을 발표했다. 그러나 이 문제에 대한 해결 방법이나 패치는 제공하지 않았다. 

시스코는 최근 하이퍼컨버지드 제품을 하이퍼플렉스 4.0용으로 확장했는데, 이를 통해 기업 고객은 시스템을 지점이나 고객 앞에까지 시스템을 확장할 수 있다. 시스코는 데이터센터 급 애플리케이션 성능 및 관리를 지사 및 원격 사이트에까지 적용케 해 기업 끝단에서도 분석 및 지능형 서비스를 구현할 수 있다고 전했다.
 
하이퍼플렉스 취약점은 시스코에서 발표한 보안 권고와 경고 17건 가운데 하나다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.