CISA, KEV 카탈로그 업데이트로 4개 활발히 악용되는 취약점 경고

CISA, KEV 카탈로그에 활발히 악용되는 4개 취약점 추가

미국 사이버보안 및 인프라 보안국(CISA)은 최근 Known Exploited Vulnerabilities(KEV) 카탈로그에 4개의 새로운 취약점을 추가했습니다. 이는 이러한 취약점이 실제 환경에서 활발히 악용되고 있음을 나타내며, 연방 기관 및 조직은 사이버 위협을 완화하기 위해 즉각적인 조치를 취해야 합니다.

KEV 카탈로그에 추가된 취약점

새롭게 추가된 취약점은 다음과 같습니다:

1. CVE-2019-19006 – Sangoma FreePBX

   • 유형: 원격 코드 실행(RCE)
   • 영향을 받는 제품: Sangoma FreePBX(널리 사용되는 오픈소스 PBX 시스템)
   • 영향: 인증되지 않은 공격자가 조작된 HTTP 요청을 통해 임의의 코드를 실행할 수 있습니다.

2. CVE-2019-2725 – Oracle WebLogic Server

   • 유형: 역직렬화 RCE
   • 영향을 받는 제품: Oracle WebLogic Server(버전 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0)
   • 영향: 인증 없이 악용 가능하며, 공격자가 취약한 서버를 장악할 수 있습니다.

3. CVE-2019-17621 – D-Link DIR-859 라우터

   • 유형: 명령어 주입(Command Injection)
   • 영향을 받는 제품: D-Link DIR-859(펌웨어 버전 1.06 이전)
   • 영향: 원격 공격자가 조작된 HTTP 요청을 통해 임의의 명령을 실행할 수 있습니다.

4. CVE-2016-4117 – Adobe Flash Player

   • 유형: Use-After-Free RCE
   • 영향을 받는 제품: Adobe Flash Player(버전 21.0.0.226 및 이전 버전)
   • 영향: 악성 Flash 콘텐츠를 통해 악용되어 임의의 코드 실행이 가능합니다.

기술 분석 및 악용 증거

CISA가 이러한 취약점을 KEV 카탈로그에 포함시킨 것은 위협 행위자에 의한 실제 악용이 확인되었음을 의미합니다. 구체적인 공격 세부 사항은 공개되지 않았지만, 다음과 같은 특징이 관찰됩니다:

• CVE-2019-19006(Sangoma FreePBX): 주로 잘못 구성된 VoIP 배포 환경에서 노출된 웹 인터페이스를 대상으로 합니다.
• CVE-2019-2725(Oracle WebLogic): 과거 랜섬웨어 그룹(예: Sodinokibi/REvil) 및 암호화폐 채굴 악성코드에 의해 표적이 되었습니다.
• CVE-2019-17621(D-Link DIR-859): 라우터 취약점은 주로 봇넷(예: Mirai 변종)에 의해 악용됩니다.
• CVE-2016-4117(Adobe Flash): 패치가 적용되지 않은 환경에서 지속적으로 공격 벡터로 활용되고 있습니다.

영향 및 대응 권고 사항

영향을 받는 제품을 사용하는 조직은 즉각적인 조치를 취해야 합니다:

• 패치 우선 적용: 공급업체에서 제공하는 업데이트를 지체 없이 적용하세요. 연방 기관은 CISA의 지침에 따라 일반적으로 2~4주 이내에 조치를 완료해야 합니다.
• 네트워크 세분화: VoIP 서버, 라우터 등 취약한 시스템을 중요 인프라로부터 격리하세요.
• 노출 최소화: 불필요한 서비스(예: Flash Player)를 비활성화하고, 관리 인터페이스에 대한 접근을 제한하세요.
• 위협 모니터링: 침입 탐지/방지 시스템(IDS/IPS)을 배포하여 악용 시도를 탐지하세요.

보안 팀을 위한 다음 단계

1. 인벤토리 확인: 환경 내 영향받는 제품의 모든 인스턴스를 식별하세요.
2. 취약점 스캐닝: Nessus 또는 OpenVAS와 같은 도구를 사용하여 패치가 적용되지 않은 시스템을 탐지하세요.
3. 사고 대응: 악용이 의심될 경우 잠재적인 침해를 조사하세요.

추가 지침은 CISA의 KEV 카탈로그와 공급업체 권고 사항을 참고하세요.

원본 권고: CISA Alert AA26-033A