보안솔루션, 보안컨설팅의 최강자! 종합보안회사 시큐아이


	English

◀◁ 뒤로

취약점ID	29059
위험도	40
포트	161
프로토콜	UDP
분류	CISCO
상세설명	해당 Cisco IOS는 SSH 서비스 거부 취약점들(CISCO Bug ID CSCdz60229, CSCdy87221, CSCdu75477)을 가지고 있다. 이 취약점들은 몇 가지의 버퍼 오버플로우들에 기인하며 취약한 장비에 대해 재시작(reload)을 유발시킬 수 있다. 재시작하는 몇 분 동안 장비의 사용을 중단시킨다. 재시작 후 정상적인 상태로 장비가 복구된 상태에서도 여전히 취약하며, 또한 반복적으로 재시작(reload)될 수 있다. Rapid7 사에서는 SSH (Secure Shell) 프로토콜의 구현들에 대한 테스트 목적으로 한 벌의 조작된 패킷들을 제작해 놓았다. 만약 SSH 서버가 작동되고 있다면, 몇 개의 테스트 패킷들 만으로도 인증 프로세스가 불려지기 전 장비의 강제적인 재시작을 유발할 수 있다. 조작된 패킷으로 취약한 Cisco 장비에 대한 SSH 접속 시도가 이루어질 때마다 장비는 시스템 정지(hang)나 리부팅을 일으킨다. * 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 시스템의 버전정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. 이 점검항목은 또한 버전정보를 수집하기 위하여 읽기 권한의 SNMP Community 문자열을 필요로 한다. 이를 위해서는 정책 편집기에서 점검항목 "snmp/guessable/r"에 타당한 Community 문자열을 추가하여야 한다. * 참고 사이트: http://www.cisco.com/warp/public/707/ssh-packet-suite-vuln.shtml http://www.cert.org/advisories/CA-2002-36.html * 영향을 받는 플랫폼: Cisco IOS releases 12.0S, 12.0ST, 12.1T, 12.1E, 12.2, 12.2T, 12.2S
해결책	다음 Cisco 보안 권고안 (SSH Malformed Packet Vulnerabilities)의 "Software Versions and Fixes" 을 참조하여 문제가 해결된 버전으로 업그레이드 하여야 한다: http://www.cisco.com/warp/public/707/ssh-packet-suite-vuln.shtml 업그레이드들은 Cisco 웹 사이트인 http://www.cisco.com/tacpage/sw-center/ 에 있는 Software Center를 통해 구할 수 있다. 임시 조치방법들: Cisco IOS Software의 경우: 1. 설정모드에서 "crypto key zeroize rsa" 명령을 사용해서 SSH 서비스를 중지한다. RSA 키 쌍을 생성할 때 SSH 서버는 자동으로 작동하게 된다. RSA 키를 "zeroing" 시키는 것은 SSH 서버를 완전히 작동 중지시킬 수 있는 유일한 방법이다. 2. 설정 모드의 VTY(가상 콘솔) 라인 상에서 허용된 transport 계층 서비스들의 리스트로부터 'ssh'이 제거된 "transport input" 명령을 재적용, 사용할 transport 프로토콜에서 SSH를 제거한다. 예를 들어, line vty 0 4 transport input telnet end 3. 다음을 참고하여 VTY 상에 ACL(Access Control List)를 사용하여 인가된 호스트와의 연결만 허용하거나 모든 SSH 트래픽을 차단한다. http://www.cisco.com/univercd/cc/td/doc/product/lan/cat2950/1219ea1/scg/swacl.htm#xtocid14 * 경고: 이 임시 조치방법은 장비 인증을 위해 RSA 키 쌍을 사용하거나 그 RSA 키 쌍 기반의 증명서를 사용하는 장비에서 종료되는 IPSEC 세션에 예측하지 못한 영향을 미칠 수 있다. Cisco Aironet Software의 경우: Cisco Aironet Access Point 상에 존재하는 IP 포트 필터링 기능을 적용하여야 한다. IP 포트 필터 설정에 관한 정보는 다음의 Access Point 설정 가이드를 참고한다. http://www.cisco.com/univercd/cc/td/doc/product/wireless/airo_350/accsspts/ap350scg/ap350ch5.htm 또한, 방화벽이나 라우터와 같은 외부 패킷 필터링 장비를 사용해서 TCP 포틑 22상의 트래픽을 필터링하여 들어오는(inbound) SSH 연결을 차단한다. 더 자세한 내용은 다음 사이트에서 볼 수 있다: http://www.cisco.com/warp/public/707/ssh-packet-suite-vuln.shtml
관련 URL	CVE-2002-1357,CVE-2002-1358,CVE-2002-1359,CVE-2002-1360 (CVE)
관련 URL	6397,6405,6407,6408,6410 (SecurityFocus)
관련 URL	10868,10869,10870,10871 (ISS)