시스코는 하이퍼플렉스 데이터센터 패키지에서 공격자가 시스템을 제어할 수 있는 2가지 중요한 보안 취약점을 확인했다. 하이퍼플렉스는 하나의 시스템에서 컴퓨팅, 네트워킹, 스토리지 자원을 모두 제공하는 시스코의 하이퍼컨버전스 인프라스트럭처다.
이번 두 가지 취약점 가운데 시스코가 1~10의 심각도에서 8.8점을 준 취약점은 인증되지 않은 공격자가 루트 사용자로 명령을 실행할 수 있게 하는 시스코 하이퍼플렉스 소프트웨어의 클러스터 서비스 관리자에서 명령 주입 취약점이다.
시스코는 보안 권고에서 "공격자는 이 취약점을 악용해 클러스터 서비스 관리자에 연결하고 명령을 바운드 프로세스(bound process, 연산은 적지만 I/O 수행 시간이 많은 프로세스)에 주입할 수 있다고 전했다. 시스코는 이 취약점이 3.5 이전의 시스코 하이퍼플렉스 소프트웨어 릴리스에서 불충분한 입력 검증으로 인한 것이라고 밝혔다.
이런 입력은 프로그램의 제어 흐름이나 데이터 흐름에 영향을 줄 수 있으며, 많은 자원 제어 문제를 야기할 수 있다. 시스코는 이 취약점을 해결하기 위한 소프트웨어 업데이트를 발표했으며, 업데이트 이외에 이 취약점을 해결할 수 있는 다른 방법은 없다고 전했다.
시스코가 8.1로 평가한 두 번째 취약점은 시스코 하이퍼플렉스 소프트웨어의 hxterm 서비스에 있는 취약점으로, 공격자가 특권이 없는 로컬 사용자로 서비스에 연결할 수 있다. 보안 권고에 따르면, 공격자는 악의적인 공격을 통해 3.5 이전의 시스코 하이퍼플렉스 소프트웨어 릴리스에서 하이퍼플렉스 클러스터의 모든 구성원 노드에 대한 루트 접속 권한을 얻을 수 있다.
시스코는 이 두 가지 취약점을 해결하는 소프트웨어 업데이트를 발표했다. 고객은 시스코 사이트에서 다운로드할 수 있다.
또한 시스코는 XSS(Cross-Site Scripting), 임의의 데이터(arbitrary data), 그라파이트(Graphite) 서비스 약점과 관련된 하이퍼플렉스 소프트웨어에 대한 3가지 다른 '중간' 단계의 위협을 발표했다. 그러나 이 문제에 대한 해결 방법이나 패치는 제공하지 않았다.
시스코는 최근 하이퍼컨버지드 제품을 하이퍼플렉스 4.0용으로 확장했는데, 이를 통해 기업 고객은 시스템을 지점이나 고객 앞에까지 시스템을 확장할 수 있다. 시스코는 데이터센터 급 애플리케이션 성능 및 관리를 지사 및 원격 사이트에까지 적용케 해 기업 끝단에서도 분석 및 지능형 서비스를 구현할 수 있다고 전했다.
하이퍼플렉스 취약점은 시스코에서 발표한 보안 권고와 경고 17건 가운데 하나다. editor@itworld.co.kr