VMware vCenter RCE 취약점 긴급 경고, CISA가 실제 공격 보고

VMware vCenter RCE 취약점, 실제 공격 확인 – CISA 경고

미국 사이버보안 및 인프라 보안국(CISA)은 VMware vCenter Server의 심각한 원격 코드 실행(RCE) 취약점이 실제 공격에 이용되고 있음을 확인하고, Known Exploited Vulnerabilities (KEV) 카탈로그에 추가했습니다. 연방 기관은 Binding Operational Directive (BOD) 22-01에 따라 2024년 8월 20일까지 시스템을 보안해야 합니다.

CVE-2024-37079 기술적 세부 사항

CVE-2024-37079(CVSS 점수 미공개)로 추적되는 이 취약점은 가상화 환경 관리를 위한 중앙 플랫폼인 VMware vCenter Server에 영향을 미칩니다. VMware는 아직 전체 기술 세부 사항을 공개하지 않았지만, 이 취약점은 인증되지 않은 공격자가 취약한 시스템에서 임의 코드를 실행할 수 있는 RCE로 분류됩니다. 추가 세부 사항은 다음과 같습니다:

• 영향을 받는 버전: VMware vCenter Server 7.0 및 8.0 (특정 패치 버전 미공개).
• 공격 벡터: vCenter Server 관리 인터페이스에 대한 네트워크 접근을 통해 공격이 이루어질 가능성이 높음.
• 완화 조치: VMware에서 패치를 배포했으며, 즉시 업데이트가 강력히 권장됨.

영향 및 위협 상황

vCenter Server는 ESXi 호스트, 가상 머신(VM), 스토리지/네트워크 리소스를 관리하는 핵심 인프라로, 위협 행위자에게 높은 가치를 지닌 공격 목표입니다. CVE-2024-37079의 성공적인 공격은 다음과 같은 결과를 초래할 수 있습니다:

• vCenter Server 인스턴스의 완전한 시스템 장악.
• 연결된 ESXi 호스트 및 VM으로의 횡적 이동(lateral movement).
• 기업 환경에서의 데이터 유출 또는 랜섬웨어 배포.

CISA가 이 취약점을 KEV 카탈로그에 포함시킨 것은 위협 행위자(APT 그룹 또는 랜섬웨어 운영자 등)가 이미 이 취약점을 악용하고 있음을 시사합니다.

보안 팀을 위한 권장 조치

1. 즉각적인 패치 적용: VMware의 vCenter Server 보안 업데이트를 지체 없이 적용하세요.
2. 네트워크 세분화: vCenter Server 인스턴스를 신뢰할 수 없는 네트워크로부터 격리하여 노출 위험을 제한하세요.
3. 모니터링: 공격 시도를 탐지하기 위해 **침입 탐지/방지 시스템(IDS/IPS)**을 배포하세요.
4. 접근 제어: vCenter Server에 대한 관리자 접근을 권한이 있는 인원만으로 제한하세요.
5. 중요 시스템 백업: 가상화 인프라의 오프라인 백업을 확보하여 복구에 대비하세요.

연방 기관은 CISA의 지침을 반드시 준수해야 하며, 민간 조직도 실제 공격이 확인된 만큼 패치 적용을 최우선으로 고려해야 합니다.

원문 보도: Sergiu Gatlan, BleepingComputer.