작성일 : 18-05-15 11:45
2018년 05월 Cisco 보안업데이트 권고
 글쓴이 : 마이호스팅
조회 : 43,442  

수신 : 마이호스팅 KT-IDC 이용고객님
발신 : 마이호스팅 IDC운영팀

안녕하세요? 마이호스팅 IDC 운영팀 입니다.
최근 이슈화 되고 있는 Cisco Smart Install Client 원격 명령 실행 취약점(CVE-2018-017)에
대해 아래와 같이 권고 드리오니 사전 점검 및 조치를 통해 보안사고를 예방하시기 바랍니다.

ㅇ 취약점 내용
- Cisco IOS 또는 IOS XE의 Smart Install client 기능을 사용 중인
  장비에 대해  원격 명령이 실행 가능한 취약점 존재
ㅇ 취약점 조치 방법
- 아래 Cisco 링크를 통해 취약 제품을 확인 후 적절한 업데이트 적용
- 해당 기능 disable 또는 관련 서비스포트(주로 TCP 4786)에 대한 외부 접근 차단

ㅇ KISA 공지
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=27106

ㅇ Cisco 발표 조치 방안
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2

ㅇ 취약점 정보
https://2016.zeronights.ru/wp-content/uploads/2016/12/CiscoSmartInstall.v3.pdf

ㅇ 관련 언론 기사
http://www.yonhapnews.co.kr/bulletin/2018/04/07/0200000000AKR20180407046400111.HTML
http://www.jpost.com/Breaking-News/Iranian-databases-targeted-in-cyberattack-549074

ㅇ 문의사항은 한국인터넷진흥원 인터넷침해대응센터 종합상황실
(02-405-4911-5, certgen@krcert.or.kr)로 연락 주시기 바랍니다.

* 아래에 취약점 조치방법을 간략하게 기재하였습니다.
1) 시스코 Smart Install을 사용하는 경우 시스코 장비 최신 버전으로 업데이트
2) 시스코 Smart Install을 사용하지 않는 경우 no vstack 명령어를 사용하여 기능 비활성화
3) 외부에서 TCP 포트(4786)를 사용하지 않는 경우 해당 포트 비활성화

2) conf t --> no vstack 하고나서 show vstack config 명령어로 아래와 같이
Role: Client (SmartInstall disabled) 클라이언트 역할이 비활성됨을 확인하던지

3) ACL을 활성화하여 4786 포트를 차단한다
ip access-list extended no-vstack
deny tcp any any eq 4786
permit ip any any
exit