미국 사이버 보안 및 인프라 보안국(CISA)은 활발한 악용 사례가 있다는 증거를 토대로 Versa Director에 영향을 미치는 보안 결함을 알려진 악용 취약점(KEV) 카탈로그에 추가했습니다.
CVE-2024-39717(CVSS 점수: 6.6)로 추적된 중간 심각도 취약점은 “파비콘 변경” 기능에 영향을 미치는 파일 업로드 버그 사례로, 위협 행위자가 무해해 보이는 PNG 이미지 파일로 위장하여 악성 파일을 업로드할 수 있습니다.
CISA는 권고문에서 “Versa Director GUI에는 Provider-Data-Center-Admin 또는 Provider-Data-Center-System-Admin 권한이 있는 관리자가 사용자 인터페이스를 사용자 정의할 수 있는 위험한 유형의 취약점이 있는 무제한 파일 업로드가 포함되어 있습니다.”라고 밝혔습니다.
“‘Favicon 변경'(즐겨찾기 아이콘)을 사용하면 .png 파일을 업로드할 수 있으며, 이를 악용하여 이미지로 위장한 .PNG 확장자를 가진 악성 파일을 업로드할 수 있습니다.”
그러나 성공적인 악용은 Provider-Data-Center-Admin 또는 Provider-Data-Center-System-Admin 권한이 있는 사용자가 성공적으로 인증하고 로그인한 후에만 가능합니다.
CVE-2024-39717의 악용을 둘러싼 정확한 상황은 불분명하지만, NIST 국가 취약점 데이터베이스(NVD)의 취약점 설명에 따르면 Versa Networks는 고객을 표적으로 삼은 확인된 사례 한 건을 알고 있다고 합니다.
“2015년과 2017년에 발표된 방화벽 가이드라인은 해당 고객이 구현하지 않았습니다.” 설명에 나와 있습니다. “이러한 구현 부족으로 인해 악의적인 행위자가 GUI를 사용하지 않고도 이 취약성을 악용할 수 있었습니다.”
연방 민간 행정부(FCEB) 기관은 2024년 9월 13일까지 공급업체가 제공한 수정 사항을 적용하여 결함으로부터 보호하기 위한 조치를 취해야 합니다.
CISA가 KEV 카탈로그에 2021년과 2022년의 4가지 보안 단점을 추가한 지 며칠 만에 이 개발이 이루어졌습니다.
- CVE-2021-33044(CVSS 점수: 9.8) – Dahua IP 카메라 인증 우회 취약점
- CVE-2021-33045(CVSS 점수: 9.8) – Dahua IP 카메라 인증 우회 취약점
- CVE-2021-31196(CVSS 점수: 7.2) – Microsoft Exchange Server 정보 공개 취약성
- CVE-2022-0185(CVSS 점수: 8.4) – Linux 커널 힙 기반 버퍼 오버플로 취약점
올해 3월 초 구글 소유의 Mandiant가 CVE-2022-0185를 악용한 사건의 배후에는 중국과 관련된 위협 행위자인 UNC5174(일명 Uteus 또는 Uetus)가 있었던 것으로 알려졌습니다.
CVE-2021-31196은 원래 ProxyLogon, ProxyShell, ProxyToken, ProxyOracle로 총칭되는 Microsoft Exchange Server 취약점의 일부로 공개되었습니다.
OP Innovate는 “CVE-2021-31196은 위협 행위자가 패치되지 않은 Microsoft Exchange Server 인스턴스를 표적으로 삼는 활성 악용 캠페인에서 관찰되었습니다.”라고 말했습니다. “이러한 공격은 일반적으로 민감한 정보에 대한 무단 액세스, 권한 상승 또는 랜섬웨어나 맬웨어와 같은 추가 페이로드 배포를 목표로 합니다.”
