메인비주얼 영역
1
/
차세대 보안 기술의 혁신!
OUR SERVICE
세계적으로 인정받은
윈스의 기술력을
경험해보세요.
윈스는 고객의 편리하고 안전한 네트워크 활동을 지원하기 위해 정보보안 기술 개발에 집중, 기술선도와 고객만족으로 정보보안 시장을 리드하고 있습니다.
윈스 소개최신 보안 동향을 지금 확인하세요.
WINS SECURITY INFORMATION
05
2024.12
Veeam, 서비스 공급자 콘솔의 중요 RCE 취약성에 대한 패치 발표
Veeam은 취약한 인스턴스에서 원격 코드 실행을 위한 길을 열 수 있는 서비스 공급자 콘솔(VSPC)에 영향을 미치는 심각한 결함을 해결하기 위해 보안 업데이트를 발표했다.
CVE-2024-42448로 추적된 이 취약점은 최대 10.0점 만점에 9.9점의 CVSS 점수를 받았다.
해당 회사는 내부 테스트 중에 버그가 발견되었다고 언급했다.
Veeam은 권고문에서 "VSPC 관리 에이전트 머신에서 관리 에이전트가 서버에서 권한을 부여받은 경우 VSPC 서버 머신에서 원격 코드 실행(RCE)을 수행할 수 있다."라고 밝혔다.
Veeam이 패치한 또 다른 결함은 VSPC 서버 서비스 계정의 NTLM 해시를 유출하고 VSPC 서버 머신에서 파일을 삭제하는 데 악용될 수 있는 취약점(CVE-2024-42449, CVSS 점수: 7.1)과 관련이 있다.
식별된 두 취약점은 모두 Veeam Service Provider Console 8.1.0.21377과 모든 이전 버전 7 및 8 빌드에 영향을 미친다.
이는 버전 8.1.0.21999에서 해결되었다.
Veeam은 또한 문제를 해결할 수 있는 완화책은 없으며, 유일한 해결책은 최신 버전의 소프트웨어로 업그레이드하는 것이라고 덧붙였다.
위협 행위자들이 Veeam 제품의 결함을 악용해 랜섬웨어를 배포하고 있으므로, 사용자는 가능한 한 빨리 인스턴스를 보호하기 위한 조치를 취하는 것이 매우 중요하다.
출처
https://thehackernews.com/2024/12/veeam-issues-patch-for-critical-rce.html
05
2024.12
심각한 SailPoint IdentityIQ 취약점으로 인해 파일이 무단 액세스에 노출됨
SailPoint의 IdentityIQ ID 및 액세스 관리(IAM) 소프트웨어에서 심각한 보안 취약점이 공개되었다.
이 취약점으로 인해 애플리케이션 디렉터리에 저장된 콘텐츠에 대한 무단 액세스가 가능하다.
CVE-2024-10905로 추적된 이 결함은 최대 심각도를 나타내는 CVSS 점수 10.0을 가지고 있다.
이 결함은 IdentityIQ 버전 8.2, 8.3, 8.4 및 기타 이전 버전에 영향을 미친다.
NIST의 국가 취약점 데이터베이스(NVD)에 나와 있는 결함 설명에 따르면, IdentityIQ는 "보호되어야 하는 IdentityIQ 애플리케이션 디렉터리의 정적 콘텐츠에 대한 HTTP 액세스를 허용한다."
이 취약점은 가상 리소스를 식별하는 파일 이름을 부적절하게 처리하는 경우(CWE-66)로 특징지어지며, 이를 악용해 원래는 접근할 수 없는 파일을 읽을 수 있다.
현재 이 결함에 대한 다른 세부 정보는 없으며 SailPoint도 보안 권고를 발표하지 않았다.
CVE-2024-10905의 영향을 받는 버전의 정확한 목록은 아래와 같다.
8.4 및 8.4p2 이전의 모든 8.4 패치 레벨
8.3 및 8.3p5 이전의 모든 8.3 패치 레벨
8.2 및 8.2p8 이전의 모든 8.2 패치 레벨
모든 이전 버전
현재 SailPoint에 답변을 요청한 상태이다.
출처
https://thehackernews.com/2024/12/critical-sailpoint-identityiq.html
04
2024.12
NachoVPN 도구, 인기 있는 VPN 클라이언트의 결함을 악용해 시스템 손상
사이버보안 연구원들은 Palo Alto Networks와 SonicWall 가상 사설망(VPN) 클라이언트에 영향을 미치는 일련의 결함을 공개했는데, 이러한 결함은 잠재적으로 Windows 및 macOS 시스템에서 원격 코드 실행을 얻는 데 악용될 수 있다고 밝혔다.
한 사이버 보안 회사는 분석에서 "공격자는 VPN 클라이언트가 서버에 두고 있는 암묵적인 신뢰를 표적으로 삼아 클라이언트 동작을 조작하고 임의의 명령을 실행하며 최소한의 노력으로 높은 수준의 액세스 권한을 얻을 수 있다."라고 밝혔다.
가상의 공격 시나리오에서 이는 의도치 않은 결과를 초래할 수 있는 악성 업데이트를 다운로드하도록 클라이언트를 속일 수 있는 악성 VPN 서버의 형태로 실행된다.
조사 결과에 따르면 NachoVPN이라는 개념 증명(PoC) 공격 도구가 나왔는데, 이를 통해 이러한 VPN 서버를 시뮬레이션하고 취약점을 악용해 특권 코드 실행이 가능해졌다.
식별된 결함은 아래와 같다.
CVE-2024-5921(CVSS 점수: 5.6) - Windows, macOS 및 Linux용 Palo Alto Networks GlobalProtect에 영향을 미치는 불충분한 인증서 검증 취약점으로 인해 앱이 임의의 서버에 연결되어 악성 소프트웨어가 배포될 수 있다.(Windows용 버전 6.2.6에서 해결됨)
CVE-2024-29014(CVSS 점수: 7.1) - SonicWall SMA100 NetExtender Windows 클라이언트에 영향을 미치는 취약점으로, 공격자가 End Point Control(EPC) 클라이언트 업데이트를 처리할 때 임의의 코드를 실행할 수 있다. (10.2.339 및 이전 버전에 영향을 미치며, 10.2.341 버전에서 해결됨)
Palo Alto Networks는 공격자가 엔드포인트에 악성 루트 인증서를 설치하고 해당 엔드포인트에 악성 루트 인증서로 서명된 악성 소프트웨어를 설치하려면 로컬 비관리자 운영 체제 사용자로 액세스하거나 동일한 서브넷에 있어야 한다고 강조했다.
[그림 1. 주요 VPN 도구의 원격 코드 실행 및 보안 문제 비교]
이렇게 하면 GlobalProtect 앱이 무기화되어 피해자의 VPN 자격 증명을 훔치고, 권한이 높은 임의 코드를 실행하며, 다른 공격을 촉진하는 데 사용할 수 있는 악성 루트 인증서를 설치할 수 있다.
마찬가지로 공격자는 사용자를 속여 NetExtender 클라이언트를 악성 VPN 서버에 연결한 다음 유효하지만 도난당한 인증서로 서명된 위조 EPC 클라이언트 업데이트를 전달하여 궁극적으로 SYSTEM 권한으로 코드를 실행할 수 있다.
"공격자는 사용자 지정 URI 핸들러를 악용하여 NetExtender 클라이언트가 서버에 연결하도록 강제할 수 있다." 해당 사이버 보안 회사가 말했다.
"사용자는 악성 웹사이트를 방문하여 브라우저 프롬프트를 수락하거나 악성 문서를 열기만 하면 공격이 성공할 수 있다."
이러한 단점이 실제로 악용되었다는 증거는 없지만 Palo Alto Networks GlobalProtect와 SonicWall NetExtender 사용자는 잠재적인 위협으로부터 보호하기 위해 최신 패치를 적용하는 것이 좋다.
이번 개발은 또 다른 사이버 보안 회사의 연구진이 인터넷 대면 노출을 기반으로 소닉월 방화벽 보안의 현재 상태를 평가하기 위해 취약점 연구를 더욱 지원하고 지문 인식 기능을 구축하기 위해 소닉월 방화벽에 내장된 펌웨어를 해독하고 분석하는 접근 방식을 자세히 설명하면서 이루어졌다.
출처
https://thehackernews.com/2024/12/nachovpn-tool-exploits-flaws-in-popular.html