Home > Àüü±â»ç

VM¿þ¾î¿¡¼­ ¾ó¸¶ Àü ÆÐÄ¡µÈ Ãë¾àÁ¡, ¾ÆÁ÷µµ °ø°ÝÀÚµéÀÌ ³ë¸°´Ù

ÀÔ·Â : 2022-05-19 15:18
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
VM¿þ¾î¿¡¼­ ¹ß°ßµÇ°í ÆÐÄ¡µÈ ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡ÀÌ ¿©ÀüÈ÷ ÀͽºÇ÷ÎÀÕ µÇ°í ÀÖ´Ù. ÆÐÄ¡¸¦ »¡¸® Àû¿ëÇÏÁö ¾Ê´Â »ç¿ëÀÚµéÀÇ ½À°üÀ» ¾Ë±â ¶§¹®¿¡ ÆÐÄ¡°¡ ³ª¿Ô°Ç ¸»°Ç À̵鿡°Ô´Â »ó°üÀÌ ¾ø´Ù. ±×·¯´Ï »¡¸® ÆÐÄ¡ÇÏ´Â °Ô °¡Àå ¾ÈÀüÇÑ ¹æ¹ýÀÌ´Ù.

[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ÃÖ±Ù ¹ß°ßµÈ VM¿þ¾î Ãë¾àÁ¡µéÀÌ Áö¼ÓÀûÀÎ »çÀ̹ö °ø°ÝÀÚµéÀÇ ÀͽºÇ÷ÎÀÕ Àç·á°¡ µÇ°í ÀÖ´Ù´Â ¼Ò½ÄÀÌ´Ù. º¸¾È ¾÷ü ¹Ù¶óÄí´Ù(Barracuda)¿¡ ÀÇÇÏ¸é °ø°ÝÀÚµéÀÌ °è¼ÓÇؼ­ ³ë¸®´Â Ãë¾àÁ¡Àº CVE-2022-22954ÀÌÁö¸¸ ¿©·¯ ´Ù¸¥ Ãë¾àÁ¡µé ¿ª½Ã °®°¡Áö ¹æ¹ýÀ¸·Î ÀͽºÇ÷ÎÀÕ µÇ°í ÀÖ´Ù°í ÇÑ´Ù.

[À̹ÌÁö = utoimage]


CVE-2022-22954´Â CVSS ±âÁØ 9.8Á¡À» ±â·ÏÇÒ Á¤µµ·Î À§ÇèÇÑ Ãë¾àÁ¡ÀÌ´Ù. VM¿þ¾î ¿öÅ©½ºÆäÀ̽º ¿ø(VMware Workspace ONE)À̶ó´Â IAM Ç÷§Æû¿¡¼­ ¹ß°ßµÆ´Ù. ¿öÅ©½ºÆäÀ̽º¿øÀº ±â¾÷¿ë ¾ÖÇø®ÄÉÀ̼ǵéÀ» ¾Æ¹« Àåºñ¿¡³ª ±¸ÃàÇÒ ¼ö ÀÖµµ·Ï ÇØ ÁÖ´Â VM¿þ¾îÀÇ Ç÷§ÆûÀ¸·Î, ÀÏÁ¾ÀÇ ¸ð¹ÙÀÏ Àåºñ °ü¸® ¼Ö·ç¼ÇÀ̶ó°í º¼ ¼ö ÀÖ´Ù. IAMÀº ÀÌ·¯ÇÑ ¼Ö·ç¼Ç¿¡ ÀåÂøµÈ ½Å¿ø °ü¸® ±â´ÉÀÌ´Ù. Ãë¾àÁ¡ ÀͽºÇ÷ÎÀÕ¿¡ ¼º°øÇÑ °ø°ÝÀÚ´Â ¼­¹ö»çÀ̵å ÅÛÇø´ ÁÖÀÔÀ» ÅëÇØ ¿ø°Ý ÄÚµå ½ÇÇàÀ» ¾ß±âÇÒ ¼ö ÀÖ°Ô µÈ´Ù.

¹Ù¶óÄí´ÙÀÇ ¼ö¼® Á¦Ç° ¸¶ÄÉÆà ±¹ÀåÀÎ ¸¶ÀÌÅ© °ñµå°íÇÁ(Mike Goldgof)´Â ¡°°ø°Ý¿¡ ¼º°øÇÑ ÇØÄ¿´Â ½Ã½ºÅÛÀ» ¸¶ºñ½Ãų ¼öµµ ÀÖ°í, µ¥ÀÌÅ͸¦ »©µ¹¸± ¼öµµ ÀÖ°í, ·£¼¶¿þ¾î¿Í °°Àº ¸Ö¿þ¾î¸¦ ½ÉÀ» ¼öµµ ÀÖ´Ù¡±°í ¼³¸íÇÑ´Ù. ¡°ÃÖ±Ù¿¡ ÆÐÄ¡°¡ ³ª¿Ô±â ¶§¹®¿¡ ´õ À§ÇèÇÕ´Ï´Ù. ÆÐÄ¡¿Í °ü·ÃµÈ Á¤º¸¿Í ±Ç°í¹®À» ÇØÄ¿µéµµ À¯½ÉÈ÷ ¿¬±¸Çϰŵç¿ä. ±×¸®°í »ç¿ëÀÚµéÀÌ ÆÐÄ¡¸¦ Àû¿ëÇϱâ Àü¿¡ ÀڽŵéÀÌ ¸ÕÀú ÀͽºÇ÷ÎÀÕ ÇÏ·Á°í ÇÏÁÒ. °Ô´Ù°¡ VM¿þ¾îÀÇ Ç÷§Æû°ú ¼Ö·ç¼ÇÀº ¿¹³ª Áö±ÝÀ̳ª °ø°ÝÀڵ鿡°Ô ÀαⰡ ³ô½À´Ï´Ù. »ç¿ëÀÚµéÀÌ ±×¸¸Å­ ¸¹±â ¶§¹®ÀÔ´Ï´Ù.¡±

ÇÏÁö¸¸ CVE-2022-22954¸¸ÀÌ ¹®Á¦´Â ¾Æ´Ï´Ù. CVSS ±âÁØ 7.8Á¡Â¥¸® Ãë¾àÁ¡ÀÎ CVE-2022-22960 ¿ª½Ã È°¹ßÈ÷ ÀͽºÇ÷ÎÀÕ µÇ°í ÀÖ´Ù. ÀÌ´Â ·ÎÄà ±ÇÇÑ »ó½Â Ãë¾àÁ¡À¸·Î, VM¿þ¾î ¿öÅ©½ºÆäÀ̽º ¿ø°ú ºêÀ̸®¾ó¶óÀÌÁî ¿ÀÅä¸ÞÀ̼Ç(vRealize Automation)¿¡¼­ ¹ß°ßµÇ°í ÀÖ´Ù. ½ºÅ©¸³Æ® Áö¿ø ¹× ±ÇÇÑ ¼³Á¤°ú °ü·ÃµÈ ºÎºÐ¿¡¼­ ¿À·ù°¡ ³ª¿Í ¹ß»ýµÇ´Â Ãë¾àÁ¡À̶ó°í VM¿þ¾î´Â ¼³¸íÇÏ°í ÀÖ´Ù. ÀͽºÇ÷ÎÀÕ¿¡ ¼º°øÇÑ °ø°ÝÀÚµéÀº ·çÆ® ±ÇÇÑÀ» °¡Á®°¥ ¼ö ÀÖ°Ô µÈ´Ù. ´Ù¸¸ ÀÌ Ãë¾àÁ¡ÀÇ °æ¿ì ÀÌÀü¿¡ ¹ß°ßµÈ ¶Ç ´Ù¸¥ Ãë¾àÁ¡°ú °°ÀÌ ¿¬¼âÀûÀ¸·Î ÀͽºÇ÷ÎÀÕÀ» Çؾ߸¸ ÇÑ´Ù°í ¹Ù¶óÄí´Ù ÃøÀº ¼³¸íÇß´Ù.

VM¿þ¾î°¡ ÀÌ µÎ °¡Áö Ãë¾àÁ¡µéÀ» °ø°³ÇÑ °Ç Áö³­ 4¿ùÀÇ ÀÏÀÌ´Ù. Ãë¾àÁ¡ÀÌ °ø°³µÇ°í ¾ó¸¶ Áö³ªÁö ¾Ê¾Æ °³³äÁõ¸í¿ë ÀͽºÇ÷ÎÀÕÀÌ ±êÇãºê¸¦ ÅëÇØ °ø°³µÆ°í, ÀÌ »ç½ÇÀÌ Æ®À§Å͸¦ ÅëÇØ ÆÛÁ®³ª°¬´Ù. ÀÌ¿¡ °¢ Áö¿ªÀÇ º¸¾È Àü¹®°¡µéÀÌ ÀÌ ¹®Á¦¸¦ Ž±¸Çϱ⠽ÃÀÛÇß°í, ´ç¿¬½º·´°Ôµµ ÇØÄ¿µé ¿ª½Ã ÀͽºÇ÷ÎÀÕ ½Ãµµ¸¦ È°¹ßÈ÷ À̾±â ½ÃÀÛÇß´Ù. ±×¸®°í ±× È帧ÀÌ Áö±Ý±îÁöµµ À̾îÁö°í ÀÖ´Ù.

¡°³Î¸® »ç¿ëÇÏ´Â Ç÷§ÆûÀ̳ª ¾ÖÇø®ÄÉÀ̼ǿ¡¼­ Ãë¾àÁ¡ÀÌ ³ª¿Ô´Ù? ÇØÄ¿µé¿¡°Ô´Â À̰ͺ¸´Ù ´õ ±â»Û ¼Ò½ÄÀÌ ¾ø½À´Ï´Ù. ÀûÀº ¿¬±¸·Î º¸´Ù ¸¹Àº È¿°ú¸¦ °ÅµÑ ¼ö ÀÖ°Ô µÇ´Ï±î¿ä. ±×·¡¼­ ³Êµµ ³ªµµ ´Þ·Áµì´Ï´Ù.¡± º¸¾È ¾÷ü ¹úÄ­»çÀ̹ö(Vulcan Cyber)ÀÇ ±â¼ú ¿£Áö´Ï¾îÀÎ ¸¶ÀÌÅ© ÆÄŲ(Mike Parkin)ÀÇ ¼³¸íÀÌ´Ù. ¡°VM¿þ¾îÀÇ Á¦Ç°Àº °¡»óÈ­ ºÐ¾ß¿¡¼­ °¡Àå ÀαⰡ ³ô´Ù°í Çصµ ¹«¹æÇÕ´Ï´Ù. ±×¸®°í ±²ÀåÈ÷ °­·ÂÇÑ Àåºñ¿¡ ¼³Ä¡µÇ¾î µ¹¾Æ°¡´Â °æ¿ì°¡ ¸¹ÁÒ. °ø°ÝÀڷμ­´Â VM¿þ¾î¿¡¼­ ³ª¿Â Ãë¾àÁ¡À» ¿¬±¸ÇÏÁö ¾ÊÀ» ÀÌÀ¯°¡ ¾ø½À´Ï´Ù.¡±

ÇöÀç±îÁö ½ÃµµµÈ ÀͽºÇ÷ÎÀÕ °ø°ÝÀ» ºÐ¼®ÇßÀ» ¶§ ±êÇãºê¸¦ ÅëÇØ °ø°³µÈ °³³äÁõ¸í¿ë Äڵ尡 ´ëºÎºÐ È°¿ëµÈ °ÍÀ¸·Î ºÐ¼®µÆ´Ù. ±×¸®°í º¿³ÝÀÌ ÁÖ·Î È°¿ëµÆ´Ù´Â °Íµµ Á¶»ç¸¦ ÅëÇØ ¹ß°ßµÆ´Ù. ƯÈ÷ ¹Ì¶óÀÌ(Mirai)¸¦ ±â¹ÝÀ¸·Î ÇÑ º¿³ÝµéÀÌ ¸¹ÀÌ ¹ß°ßµÇ°í ÀÖ´Ù°í ÇÑ´Ù. ¡°¿©±â¿¡ ¿¡³Ê¹Ìº¿(EnemyBot) »ùÇõ鵵 ÀϺΠ¹ß°ßµÇ´Â ÁßÀÔ´Ï´Ù. ÀÌ µÎ °¡Áö º¿³ÝÀº ¸ðµÎ µðµµ½º °ø°ÝÀ» ÁÖƯ±â·Î ÇÏ´Â º¿³ÝÀÔ´Ï´Ù.¡±

¶Ç Çϳª À¯ÀÇÇØ¾ß ÇÒ °Ç ·Î±×4¼Ð(Log4Shell)À̶ó´Â Ãë¾àÁ¡¿¡ ´ëÇÑ ÀͽºÇ÷ÎÀÕµµ ¹ß°ßµÇ°í ÀÖ´Ù´Â °ÍÀÌ´Ù. VM¿þ¾îÀÇ ¿öÅ©½ºÅ×ÀÌ¼Ç ¿ø µî ¿©·¯ Ç÷§ÆûµéÀ» °ø·«Çϱâ À§ÇØ À§ÀÇ µÎ °¡Áö Ãë¾àÁ¡ ¿Ü¿¡ ·Î±×4¼Ð ÀͽºÇ÷ÎÀÕµµ °£°£È÷ ½ÃµµµÇ°í ÀÖ´Ù´Â ¶æÀÌ´Ù. ·Î±×4¼ÐÀº ¿ª´ë ÃÖ¾ÇÀÇ Ãë¾àÁ¡À¸·Î ¾Ë·ÁÁ® ÀÖÀ¸¸ç, ·Î±×4j(Log4j)¶ó´Â ÀÚ¹Ù ¶óÀ̺귯¸®¿¡¼­ ¹ß°ßµÇ¾ú´Ù. ·Î±×4j´Â ³Ê¹«³ª ±¤¹üÀ§ÇÏ°Ô »ç¿ëµÇ°í ÀÖ¾î Ãë¾àÇÑ ºÎºÐÀ» ã¾Æ³»´Â µ¥¿¡ ¼ö³âÀº Á·È÷ °É¸± °ÍÀ̶ó°í ÇÑ´Ù.

ÇÑÆí À̹ø¿¡ VM¿þ¾î Á¦Ç°µé¿¡¼­ ¹ß°ßµÇ´Â Ãë¾àÁ¡ ÀͽºÇ÷ÎÀÕ ½Ãµµ¸¦ ÁÖµµÇÏ°í ÀÖ´Â ¹èÈÄ ¼¼·ÂÀÌ Æ¯Á¤µÇÁö´Â ¾Ê¾Ò´Ù. ´Ù¸¸ Áö³­ 4¿ù CVE-2022-22954¸¦ ÀͽºÇ÷ÎÀÕ ÇÏ´Â À̶õ ÇØÅ· ±×·ì ·ÎÄÏÅ°Æ°(Rocket Kitten)ÀÇ ¿òÁ÷ÀÓÀÌ Æ÷ÂøµÇ±â´Â Çß¾ú´Ù. ±×¸®°í °°Àº ´Þ ¾ÏȣȭÆó¸¦ ÁýÁßÀûÀ¸·Î ½É±â À§ÇÑ CVE-2022-22954 ÀͽºÇ÷ÎÀÕ ÇàÀ§°¡ ¹ß°ßµÇ±âµµ Çß´Ù.

3ÁÙ ¿ä¾à
1. VM¿þ¾î¿¡¼­ ¹ß°ßµÇ°í ÆÐÄ¡µÈ Ãë¾àÁ¡, ¾ÆÁ÷µµ °ø°ÝÀÚµéÀº È°¹ßÇÏ°Ô ³ë¸®°í ÀÖÀ½.
2. VM¿þ¾îÀÇ Ç÷§Æû°ú ¼Ö·ç¼ÇÀº ´ë´ÜÈ÷ ³Î¸® »ç¿ëµÇ°í À־ °ø°ÝÀÚµéÀÌ ÁÁ¾ÆÇÔ.
3. VM¿þ¾îÀÇ »ýÅ°迡¼­ ·Î±×4¼ÐÀ» ÀͽºÇ÷ÎÀÕ ÇÏ·Á´Â ½Ãµµµµ ¹ß°ßµÇ°í ÀÖÀ½.

[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)