CISA KEV에 추가된 심각한 VMware vCenter 취약점 CVE-2024-37079, 실제 공격 발생 중

실제 공격 발생 중인 심각한 VMware vCenter 취약점

미국 사이버보안 및 인프라 보안국(CISA)은 Broadcom VMware vCenter Server의 심각한 힙 오버플로우 취약점인 CVE-2024-37079가 실제 공격에 이용되고 있음을 확인한 후, Known Exploited Vulnerabilities (KEV) 카탈로그에 추가했습니다. VMware가 2024년 6월에 패치한 이 취약점은 CVSS 점수 9.8으로, 그 심각성을 강조합니다.

기술적 세부 사항

CVE-2024-37079는 VMware vSphere 환경을 위한 중앙 집중식 관리 플랫폼인 VMware vCenter Server의 힙 기반 버퍼 오버플로우 취약점입니다. 이 취약점은 부적절한 입력 검증으로 인해 발생하며, 인증되지 않은 공격자가 취약한 시스템에서 권한 상승을 통해 임의 코드를 실행할 수 있습니다. 성공적인 공격은 시스템 전체 침해로 이어질 수 있으며, 민감한 데이터에 대한 무단 접근, 네트워크 내 횡적 이동, 추가 악성 페이로드의 배포 등이 포함됩니다.

VMware는 이 취약점에 대한 패치를 2024년 6월 보안 권고 VMSA-2024-0012의 일부로 발표했습니다. 영향을 받는 버전은 다음과 같습니다:

• VMware vCenter Server 7.0 (모든 7.0 U3r 이전 업데이트)
• VMware vCenter Server 8.0 (모든 8.0 U2b 이전 업데이트)

영향 분석

CISA의 KEV 카탈로그에 CVE-2024-37079가 포함된 것은 연방 기관 및 민간 부문 조직에 대한 고위험 위협을 의미합니다. Binding Operational Directive (BOD) 22-01에 따라, 미국 연방 민간 기관은 잠재적 침해를 완화하기 위해 2025년 2월 14일까지 이 취약점을 수정해야 합니다. 그러나 CISA는 이 취약점이 실제 공격에 이용되고 있으므로 모든 조직, 주 및 지방 정부, 중요 인프라 기관 등도 패치를 최우선으로 고려해야 한다고 강력히 권고합니다.

보안 연구자들은 위협 행위자들이 이 취약점을 이용하여 다음을 수행하는 것을 관찰했습니다:

• 기업 네트워크에 대한 초기 접근 획득
• 관리자 수준으로 권한 상승
• 랜섬웨어, 스파이웨어 또는 백도어 배포
• 민감한 데이터 유출

권장 사항

보안 팀은 위험을 완화하기 위해 다음 단계를 수행해야 합니다:

1. 즉시 패치 적용: VMware vCenter Server를 최신 버전으로 업그레이드합니다:
   • 7.0 U3r 이상
   • 8.0 U2b 이상
2. 취약한 시스템 격리: 패치를 즉시 적용할 수 없는 경우, vCenter Server 인스턴스에 대한 네트워크 접근을 신뢰할 수 있는 IP 주소로만 제한합니다.
3. 공격 탐지 모니터링: 다음을 탐지하기 위해 침입 탐지/방지 시스템(IDS/IPS)을 배포합니다:
   • 비정상적인 인증 시도
   • 의심스러운 프로세스 실행
   • 예기치 않은 네트워크 연결
4. 로그 검토: 다음을 포함한 침해 징후를 확인하기 위해 vCenter Server 로그를 감사합니다:
   • 로그인 실패 시도
   • 무단 구성 변경
   • 비정상적인 아웃바운드 트래픽
5. CISA 지침 준수: 추가 완화 전략 및 침해 지표(IOC)를 위해 CISA의 KEV 카탈로그 항목을 참조합니다.

결론

CVE-2024-37079는 가상화 관리를 위해 VMware vCenter Server에 의존하는 조직에 대한 중대한 위협을 나타냅니다. 실제 공격이 확인된 만큼, 보안 팀은 패치를 신속히 적용하고, 악성 활동을 모니터링하며, 잠재적 공격으로부터 환경을 강화해야 합니다. 조치를 취하지 않으면 심각한 운영 중단, 데이터 유출 또는 랜섬웨어 사고로 이어질 수 있습니다.