GitLab은 소프트웨어 개발 플랫폼의 보안 결함을 해결하기 위해 또 다른 업데이트 라운드를 제공했습니다. 여기에는 공격자가 임의의 사용자로 파이프라인 작업을 실행할 수 있는 심각한 버그가 포함되었습니다.
CVE-2024-6385로 추적된 이 취약점은 최대 10.0점 만점에 9.6점의 CVSS 점수를 받았습니다.
회사는 수요일 공지에서 “16.11.6 이전의 15.8 버전, 17.0.4 이전의 17.0 버전, 17.1.2 이전의 17.1 버전에 영향을 미치는 문제가 GitLab CE/EE에서 발견되었으며, 이를 통해 공격자가 특정 상황에서 다른 사용자로 파이프라인을 트리거할 수 있습니다.”라고 밝혔습니다.
해당 회사가 지난달 말에 비슷한 버그(CVE-2024-5655, CVSS 점수: 9.6)를 패치했다는 점도 주목할 만합니다. 이 버그도 다른 사용자로 파이프라인을 실행하는 데 무기화될 수 있습니다.
또한 GitLab에서 해결한 문제는 중간 심각도 문제(CVE-2024-5257, CVSS 점수: 4.9)로, admin_compliance_framework 권한이 있는 개발자 사용자가 그룹 네임스페이스의 URL을 수정할 수 있습니다.
GitLab Community Edition(CE)과 Enterprise Edition(EE) 버전 17.1.2, 17.0.4, 16.11.6에서는 모든 보안 취약점이 수정되었습니다.
Citrix는 NetScaler Console(이전 NetScaler ADM), NetScaler SDX 및 NetScaler Agent(CVE-2024-6235, CVSS 점수: 9.4)에 영향을 미치는 심각한 부적절한 인증 결함에 대한 업데이트를 출시하면서 이 결함으로 인해 정보 공개가 발생할 수 있다고 밝혔습니다.
Broadcom은 VMware Cloud Director(CVE-2024-22277, CVSS 점수: 6.4)와 VMware Aria Automation(CVE-2024-22280, CVSS 점수: 8.5)의 두 가지 중간 심각도 주입 취약점에 대한 패치도 출시했습니다. 이 취약점은 특별히 제작된 HTML 태그와 SQL 쿼리를 사용하여 악성 코드를 실행하는 데 악용될 수 있습니다.
CISA, 소프트웨어 결함을 해결하기 위한 게시판 발표
또한, 이러한 발전은 미국 사이버 보안 및 인프라 보안국(CISA)과 연방수사국(FBI)이 발표한 새로운 보안 공지에 따른 것입니다. 이 공지에서는 기술 제조업체에 위협 행위자가 네트워크 엣지 장치에서 원격으로 코드를 실행할 수 있도록 허용하는 소프트웨어의 운영 체제(OS) 명령 주입 결함을 제거하도록 촉구합니다.
이러한 결함은 기본 운영 체제에서 실행되는 명령을 구성할 때 사용자 입력이 적절하게 처리 및 검증되지 않을 때 발생하며, 이를 통해 적대자가 임의의 명령을 밀수하여 맬웨어를 배포하거나 정보를 도용할 수 있습니다.
기관들은 “OS 명령 주입 취약점은 오랫동안 사용자 입력과 명령 내용을 명확히 분리함으로써 예방할 수 있었습니다.”라고 말했습니다. “이러한 발견에도 불구하고, CWE-78에서 비롯된 OS 명령 주입 취약점은 여전히 만연한 취약점 유형입니다.”
이 경고는 CISA와 FBI가 올해 초부터 발행한 세 번째 경고입니다. 이 기관은 이전에 2024년 3월과 5월에 SQL 주입(SQLi) 및 경로 횡단 취약성을 제거해야 한다는 두 가지 경고를 보냈습니다.
지난달, CISA는 캐나다와 뉴질랜드의 사이버 보안 기관과 협력하여 기업이 Zero Trust, Secure Service Edge(SSE), Secure Access Service Edge(SASE)와 같이 네트워크 활동에 대한 가시성을 높이는 더욱 강력한 보안 솔루션을 채택하도록 권장하는 지침을 발표했습니다.
“정책 결정 엔진을 통해 위험 기반 액세스 제어 정책을 사용하여 결정을 전달함으로써 이러한 솔루션은 보안과 액세스 제어를 통합하고 적응형 정책을 통해 조직의 사용성과 보안을 강화합니다.” 작성 기관은 이에 대해 언급했습니다.
