프라임 라이선스 관리자에 임의 SQL 주입 가능케 해주는 취약점
사우디 보안 전문가가 발견...패치 외에는 다른 완화 방법 없어

[보안뉴스 문가용 기자] 시스코가 자사 제품인 시스코 프라임 라이선스 관리자(Cisco Prime License Manager)의 웹 프레임워크 코드에서 발견된 취약점에 대한 패치를 발표했다. 공격자들이 임의의 SQL 요청을 실행할 수 있게 해주는 취약점이었다.


이 취약점을 익스플로잇 하기 위해 별도의 인증 과정을 통과할 필요는 없다. 이 취약점이 나타나는 이유는 사용자의 입력값을 제대로 확인하고 거르는 과정이 부재하기 때문인데, 공격자가 이를 파악하고 악성 SQL 명령이 들어간 HTTP POST 요청을 보내면 취약점을 발동시킬 수 있게 된다.

“공격에 성공하게 되면 공격자는 프라임 라이선스 관리자(PLM) 데이터베이스로부터 임의의 데이터를 편집하거나 삭제할 수 있게 됩니다. 또한 셸 접근 권한도 가져갈 수 있습니다.” 시스코가 권고문을 통해 밝힌 내용이다.

이 취약점을 찾은 건 사우디 정보 기술 회사(Saudi Information Technology Company)에 소속된 수하일 알라스카(Suhail Alaskar)라는 보안 전문가다. PLM 11.0.1 및 그 상위 버전에서 발견한 것이라고 한다.

시스코에 의하면 공식 패치 외에는 이 취약점을 보완하기 위한 별도의 다른 방법은 존재하지 않는다고 한다. 해당 패치의 이름은 ciscocm.CSCvk30822_v1.0.k3.cop.sgn으로 배포되고 있다.

“이 취약점은 프라임 라이선스 관리자 독립 버전은 물론, 시스코 통합 커뮤니케이션 관리자(Cisco Unified Communications Manager)나 시스코 유니티 커넥션(Cisco Unity Connection)의 일부로서 설치된 버전 모두에서 발견됐으며, ciscocm.CSCvk30822_v1.0.k3.cop.sgn 패치 역시 두 버전 모두에 적용이 가능합니다.”

그러나 제한 사항이 있다. 이 세 가지 형태의 PLM 제품 모두에 적용이 가능하긴 하지만 11.5(1) 버전만을 위한 패치라는 것이다. 그 이전 버전의 사용자일 경우 11.5(1)로 제품을 업그레이드 한 이후 패치를 적용해야 한다. 업그레이드 파일은 Cisco 웹사이트의 소프트웨어 센터(Software Center)에서 찾을 수 있다.

시스코에 의하면 “아직 이 취약점이 실제 공격에 활용된 사례는 찾을 수 없었다”고 한다. 또한 취약점의 악의적인 활용 역시 공개적으로 발표된 바 없다. “시스코 통합 커뮤니케이션 관리자나 시스코 유니티 커넥션 12.0 및 상위 버전에는 이 취약점이 없는 것으로 나타났습니다.”

3줄 요약
1. 시스코의 라이선스 관리자 제품인 PLM에서 SQL 주입 취약점 등장.
2. 독립 버전과 통합 버전의 PLM 모두에서 나타난 취약점.
3. 11.5(1) 버전으로 업그레이드 해야만 패치 적용 가능함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>