CISA, 윈도우 및 시스코의 활성 취약점 경고

미국 사이버 보안 및 인프라 보안국(CISA)은 월요일에 시스코 및 윈도우 제품에 영향을 미치는 두 가지 보안 취약점을 알려진 악용 취약점(KEV) 카탈로그에 추가하며 악의적인 행위자에 의한 활성 악용에 대해 조직에 경고했습니다.

아래 언급된 두 가지 취약점은 악용 캠페인의 증거를 바탕으로 KEV에 추가되었으며, 악의적인 사이버 행위자에게 빈번한 공격 벡터로 작용하며 조직에 상당한 위험을 초래합니다. 이들은 다음과 같습니다:

CVE-2023-20118 (CVSS 점수: 6.5) – 시스코 소형 비즈니스 RV 시리즈 라우터 명령 주입 취약점:

이 결함은 시스코 소형 비즈니스 라우터 RV016, RV042, RV042G, RV082, RV320 및 RV325 라우터의 웹 기반 관리 인터페이스에 존재합니다.

이 취약점은 인증된 원격 공격자가 영향을 받는 장치에서 임의의 명령을 실행할 수 있게 하며, 이는 수신 HTTP 패킷 내 사용자 입력의 부적절한 검증으로 인해 발생합니다.

이 취약점은 공격자가 웹 기반 관리 인터페이스에 특별히 조작된 HTTP 요청을 보내어 악용할 수 있습니다.

성공할 경우, 공격자는 루트 수준의 권한을 얻고 무단 데이터에 접근할 수 있습니다. 그러나 악용하려면 영향을 받는 장치에서 유효한 관리 자격 증명이 필요합니다.

CVE-2018-8639 (CVSS 점수: 7.8) – 마이크로소프트 윈도우 Win32k 자원 종료 또는 해제 취약점:

이 결함은 권한 상승 취약점으로, Win32k 구성 요소가 메모리 내 객체를 적절히 처리하지 못할 때 윈도우에서 존재합니다. 즉, “Win32k 권한 상승 취약점”입니다.

이 취약점을 악용하면 로컬 공격자가 권한을 상승시켜 커널 모드에서 임의의 코드를 실행할 수 있으며, 효과적으로 영향을 받는 윈도우 시스템을 제어할 수 있습니다.

2018년 12월 마이크로소프트가 발행한 보안 권고에 따르면, CVE-2018-8639 취약점은 윈도우 7, 윈도우 서버 2012 R2, 윈도우 RT 8.1, 윈도우 서버 2008, 윈도우 서버 2019, 윈도우 서버 2012, 윈도우 8.1, 윈도우 서버 2016, 윈도우 서버 2008 R2, 윈도우 10 및 윈도우 10 서버에 영향을 미칩니다.

이러한 취약점의 활성 악용에 대응하여 CISA는 2021년 11월의 구속력 있는 운영 지침(BOD) 22-01에 따라 모든 연방 민간 행정부(FCEB) 기관이 2025년 3월 24일까지 패치를 적용하여 확인된 취약점을 완화하고 잠재적 위협으로부터 네트워크를 보호하도록 의무화했습니다.

CVE-2023-20118 취약점에 관해서는, 시스코가 영향을 받는 모델이 수명 종료(EoL)에 도달했기 때문에 이를 수정할 패치를 발표하지 않았습니다.

반면, 마이크로소프트는 2018년 12월에 마이크로소프트 윈도우 보안 업데이트로 CVE-2018-8639 취약점을 패치했습니다.

이러한 제품을 사용하는 조직은 원격 관리 비활성화, 최신 펌웨어로 업그레이드, 비정상적인 네트워크 활동 모니터링, 복잡한 비밀번호와 같은 강력한 자격 증명 사용, 신뢰할 수 있는 출처로의 접근 제한, 다층 방어 전략 구현과 같은 즉각적인 방어 조치를 취할 것을 권장합니다.