CISA, 최신 KEV 업데이트로 5개 활발히 악용되는 취약점 경고

CISA, KEV 카탈로그에 5개 활발히 악용되는 취약점 추가

미국 사이버보안 및 인프라 보안국(CISA)은 최근 Known Exploited Vulnerabilities(KEV) 카탈로그에 5개의 새로운 취약점을 추가했습니다. 이 업데이트는 2026년 1월 26일에 발표되었으며, 연방 민간 기관은 Binding Operational Directive(BOD) 22-01에 따라 2026년 2월 16일까지 이러한 취약점을 해결해야 합니다.

추가된 CVE의 기술적 세부 사항

새롭게 목록에 추가된 취약점은 다음과 같습니다:

1. CVE-2024-21887 (Ivanti Connect Secure 및 Policy Secure)

   • 유형: 명령 주입(command injection) 취약점
   • 심각도: Critical (CVSS 9.1)
   • 영향: 인증되지 않은 공격자가 조작된 요청을 통해 취약한 시스템에서 임의의 명령을 실행할 수 있습니다.

2. CVE-2023-46805 (Ivanti Connect Secure 및 Policy Secure)

   • 유형: 인증 우회(authentication bypass)
   • 심각도: High (CVSS 8.2)
   • 영향: 공격자가 인증 제어를 우회하여 제한된 리소스에 무단 접근할 수 있습니다.

3. CVE-2023-22527 (Atlassian Confluence Data Center 및 Server)

   • 유형: 원격 코드 실행(Remote Code Execution, RCE)
   • 심각도: Critical (CVSS 10.0)
   • 영향: 템플릿 주입(template injection) 취약점을 악용하여 인증되지 않은 공격자가 취약한 Confluence 인스턴스에서 임의의 코드를 실행할 수 있습니다.

4. CVE-2024-0204 (Fortra GoAnywhere MFT)

   • 유형: 인증 우회(authentication bypass)
   • 심각도: Critical (CVSS 9.8)
   • 영향: 공격자가 관리자 사용자를 생성하고 영향을 받는 시스템을 완전히 제어할 수 있습니다.

5. CVE-2023-27532 (Apache Superset)

   • 유형: 안전하지 않은 기본 설정(insecure default configuration)
   • 심각도: High (CVSS 8.9)
   • 영향: Superset 설치 시 기본 SECRET_KEY로 인해 무단 인증 및 민감한 데이터에 접근할 수 있습니다.

영향 분석

이러한 취약점은 특히 Ivanti, Atlassian Confluence, Fortra GoAnywhere 또는 Apache Superset을 사용하는 조직에 상당한 위험을 초래합니다. 현재 활발한 악용이 관찰되고 있으며, 위협 행위자들은 이러한 취약점을 악용하여 다음을 수행하고 있습니다:

• 기업 네트워크에 무단 접근
• 랜섬웨어 또는 기타 악성코드 배포
• 민감한 데이터 유출
• 추가 공격에 대비한 지속성(persistence) 확보

연방 기관은 2월 16일까지 이러한 취약점을 패치해야 하지만, CISA는 모든 조직(공공 및 민간)을 대상으로 잠재적 침해를 완화하기 위한 조치를 우선시할 것을 강력히 권고합니다.

보안 팀을 위한 권고 사항

1. 즉각적인 패치 적용: 공급업체가 제공하는 패치 또는 완화 조치를 지체 없이 적용합니다.
2. 네트워크 세분화: 취약한 시스템을 격리하여 악용 시 횡적 이동(lateral movement)을 제한합니다.
3. 모니터링 및 탐지: 침입 탐지/방지 시스템(IDS/IPS)을 배포하여 악용 시도를 식별합니다.
4. 사용자 인식 교육: 피싱 또는 사회공학적 기법이 악용에 선행할 수 있음을 직원들이 인식하도록 교육합니다.
5. KEV 카탈로그 검토: CISA의 KEV 카탈로그를 정기적으로 확인하고, 목록에 포함된 취약점의 조치를 우선시합니다.

자세한 내용은 CISA의 공식 권고를 참조하시기 바랍니다.