시작하며
처음 하트블리드가 발생하였을 때 협업 및 UC 솔루션과는 큰 관계가 없을 것으로 생각했지만, 공공기관 및 금융 기관에서 Secure IP Telephony 를 구현한 사례가 많아서 문의가 많았습니다. 문의하신 분들은 하트블리드에 영향을 받는 전화기와 IP PBX에 어떤 영향을 미치에 대한 무지에서 출발한 우려를 나타는 경우가 종종 있었습니다. 이런 우려는 전화기와 IP PBX 시스템을 일반 서버나 자신이 사용하는 컴퓨터와 동일하게 생각하기때문에 발생한 듯합니다. 


이번 글에서는 하트비트가 시스코 전화기와 IP PBX에 미치는 영향과 시스코의 대응상황을 간단히 정리합니다. 





하트블리드가 전화기에 미치는 영향 
전화기는 통화를 주목적으로 만들어진 장비입니다. 시스코 전화기는 HTTPS 접속과 SSH 접속이 기본적으로 비활성화되어 있지만, 설정에 따라 IP 주소를 이용하여 접속을 시도할 수 있습니다. 하트블리드 영향으로 패스워드가 노출되어 해커 또는 불법 사용자가 전화기에 접속을 하여도 쉘로 쌓여져 있어서 할 수 있는 것은 없습니다. 패스워드를 알고 있는 관리자도 웹으로 접속시에는 전화기 설정 정보를 보는 것 밖에 할 수 있는 것이 없습니다. SSH 접속 시에도 사용할 수 있는 명령어가 매우 제한적이여서 전화기를 기점으로 
다른 장비에 접속하는 것은 불가능합니다. 


이외에 TLS / SRTP를 구현하였을 경우 최악의 상황에서 Dynamic Session Key키가 유출될 수 있습니다. 이 키를 알고 있으면, TLS 세션 내에 움직이는 패킷을 캡쳐하면 도청이 가능합니다. 여기서 패킷을 캡쳐하기 위해서는 원격이 아닌 기업내에 침투하여 수집해야 하므로 쉽지 않습니다. 또한, Dynamic Session Key는 고정된 것이 아니라 수시로 변경되므로 이용가치가 높지 않습니다. 


따라서, 하트블리드에 의한 최악 상황을 가정하여도 전화기를 통해 해커가 유의미한 정보를 얻기는 불가능합니다. 시스코의 IP 전화기를 사용하고 있다면 안심하셔도 됩니다.



하트블리드가 IP PBX에 미치는 영향
IP PBX는 전화기의 핵심 시스템으로 전화서비스에 치명적인 영향을 받을 수 있습니다. 그러나, 시스코 
IP PBX인 CUCM은 SELinux를 사용합니다. SELinux는 Security Enhanced Linux 의 준말로 보안이 강화된 리눅스 버전을 의미합니다. 일례로 시스템 내의 모든 파일은 사용 권한이 설정되어 있어 특정 어플리케이션이 사용하는 파일을 다른 어플리케이션이 접근할 수 없습니다.  또한, CUCM의 SELinux인 OS에는 기본적으로 루트 권한이 존재하지 않습니다. 관리자도 CUCM에 별도의 어플리케이션이 파일을 설치하는 것이 불가능합니다.  


즉, 관리자 패스워드를 획득하고 CUCM에 접근이 가능하더라도 할 수 있는 것은 구성정보를 삭제하는 수준 정도가 될 것이며, 이 서버를 기점으로 다른 서버에 영향을 미치는 것은 불가능합니다. 이런 2중 3중의 보안 정책 덕분에 CUCM은 안전합니다만, 서비스 중단에 대한 우려가 있을 수 있습니다. 


다행히도 하트블리드의 위험에 노출된 CUCM 10.0.1 버전은 국내에서 사용하고 있지 않습니다. 



시스코 UC 솔루션의 대응
하트블리드에 영향을 받은 시스코의 Unified Communications 및 Collaboration 제품군의 진행상황을 살펴보기 위해 시스코의 하트블리드에 대한 대처상황을 실시간으로 공유하는 공식 홈페이지를 방문해 보겠습니다. .


OpenSSL Heartbeat Extension Vulnerability in Multiple Cisco Products



하트블리드에 관련하여 영향 받은 제품들을 제품군이 많이 있지만, 가장 관심을 갖는 IP PBX, Voice Gateway, 전화기에 대해서만 살펴보겠습니다. 



IP PBX (해결 완료)
시스코 IP PBX는 CUCM (Cisco Unified Communications Manager) 으로 최신버전은 CUCM 10.5 이며, 이중 CUCM 10.0.1 버전이 영향을 받으며, 그 이하 버전에서는 영향이 없습니다. 

  • 버그가 발견된 버전
    CUCM 10.0.1 버전에서 하트블리드 버그가 발견  

  • 해결 방법
    CUCM 10.0.1SU1 이상 버전으로 업그레이드 


  • 패치 여부
    CUCM 10.0.1SU1은 2014년 4월 28일 시스코 웹사이트에 릴리즈 

  • 국내영향
    현재 국내 기업은 CUCM 9.x 이하 버전을 이용하고 있으므로 하트블리드에 대한 CUCM의 영향은 없음


시스코가 잘하는 것 중 하나가 정보를 투명하게 공개하고 있다는 점입니다. 아래의 문서는 시스코 CUCM이 사용중인 Open Source 관련된 정보를 공유하고 있습니다. 각 버전별로 공개되어 있지만, 현재 국내에서 가장 많이 사용하는 CUCM 9.x는 OpenSSL 0.9.8u 를 사용중입니다. 


Open Source Used In Cisco Unified Communications Manager 9.1(1)


CUCM 버전별로 사용중인 Open Source 및 OpenSSL에 대한 상세 버전을 확인하기 위한 검색을 포함한 찾기는 다음 링크를 이용하시기 바랍니다.


시스코 공식 홈페이지에서 Open Source 검색하기




Cisco Unified 8961 / 9951 / 9971 IP Phone (해결 완료)
시스코 IP Phone 중 최신 기종의 전화기들의 최신버전인 9.4(1) 버전에서 영향을 받습니다.  그 이하 버전을 사용할 경우에는 영향을 받지 않으며,  전화기별 대응 상황은 다음과 같습니다. 


전화기 기종 

 버그가 발견된 버전

 버그가 해결된 버전 

  패치 

  비고

 8961 

9.4(1) 

9.4.1SR1.2 

4월 21일 패치 

 

 9951

9.4(1) 

9.4.1SR1.2

4월 21일 패치 

 

 9971

9.4(1)

9.4.1SR1.2

4월 21일 패치 

 



전화기에서 사용중인 대한 Open Source 및 OpenSSL 버전을 확인하기 위해서는 다음 링크를 참조하시기 바라며, 9.4(1) 펌웨어는  OpenSSL 0.9.8k를 사용중입니다.



Cisco Unified 7821 / 7841 / 7861 IP Phone (해결중)
시스코 IP Phone 중 최신 기종의 전화기들의 최신버전인 10.1(1)에서 영향을 받으며, 
전화기별 대응 상황은 다음과 같습니다. 7800 시리즈는 전화기의 모양은 틀리지만, 동일한 Firmware를 사용합니다. 


전화기 기종 

 버그가 발견된 버전

 버그가 해결된 버전 

  패치 예정

  비고

 7821 

10.1(1)SR1.4

10.1(1)SR2

 5월 29일 패치

 

 7841

10.1(1)SR1.4

10.1(1)SR2

 5월 29일 패치

 

 7861

10.1(1)SR1.4

10.1(1)SR2

 5월 29일 패치

 




Voice Gateway및 기타 전화기 (영향없음)
나머지 전화기와 시스코 ISR 기반의 Voice Gateway 미 CUBE는 영향을 받지 않습니다. Voice Gateway가 사용하는 IOS의 Open Source정보는 아래 링크에서 찾을 수 있습니다.


Open Source Used In Cisco IOS15_4_1_CG




마치며
TLS 및 SRTP 를 이용하여 보안통신을 하는 기업과 안행부 산하 기관에서는 하트블리드에 대해 빠르게 대처하고 싶어합니다만, 다소 시간이 필요한 상황입니다. 단순히 어플리케이션의 OpenSSL 스택을 패치버전으로 바꾸기만 하면 되는 것이 아니라 이를 통해 기존의 서비스에 영향이 없는 지를 일일히 확인을 해야 하기 때문입니다. 보안 문제를 급하게 해결하려다 또다른 문제에 부딪히지 않도록 하기 위한 조치입니다.


이제 시스코 UC 솔루션에 대한 하트블리드 문제가 마무리되었습니다. Cisco IP Telephony 를 사용하는 분들은 6월 중순 이후에는 하트블리드를 잊고 지내도 될 듯합니다. 




참조글

2014/04/17 - [Secure UC] - 하트블리드 (HeartBleed)에 대처하는 우리의 자세




라인하
트 (CCIEV #18487)
  ----------------------------------------------------------
ucwana@gmail.com (라인하트의 구글 이메일) 
http://twitter.com/nexpertnet (넥스퍼트 블로그의 트위터, 최신 업데이트 정보 및 공지 사항) 
http://groups.google.com/group/cciev (시스코 UC를 공부하는 사람들이 모인 구글 구룹스) 
http://groups.google.com/group/ucforum (벤더에 상관없이 UC를 공부하는 사람들이 모인 구글 구룹스) 
세상을 이롭게 하는 기술을 지향합니다. ________________________________________________________


Posted by 라인하트

댓글을 달아 주세요

  1. 시오현 2014.05.31 06:38 신고  댓글주소  수정/삭제  댓글쓰기

    좋은 글 감사합니다.

  2. Favicon of http://www.nexpert.net BlogIcon 라인하트 2014.06.23 10:27 신고  댓글주소  수정/삭제  댓글쓰기

    7800 시리즈에 대한 패치가 5월 29일날 발표되었네요^^



티스토리 툴바