[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] MS°¡ 2023³â 4¿ù ÆÐÄ¡ Æ©Áîµ¥À̸¦ ÁøÇàÇß´Ù. 97°³ÀÇ CVEµéÀÌ º¸¾È ±Ç°í¹®¿¡¼ ´Ù·ïÁ³°í, ÀÌ Áß¿¡´Â 2°³ÀÇ Á¦·Îµ¥ÀÌ Ãë¾àÁ¡ÀÌ Æ÷ÇԵǾî ÀÖ¾ú´Ù. ÇÑ °³ÀÇ Á¦·Îµ¥ÀÌ Ãë¾àÁ¡Àº ÀÌ¹Ì ·£¼¶¿þ¾î °ø°Ý¿¡¼ ÀͽºÇ÷ÎÀÕ µÇ°í ÀÖ¾ú°í, ´Ù¸¥ ÇÑ °³´Â 2013³â¿¡ ³ª¿Â Ãë¾àÁ¡ ÆÐÄ¡¿Í °ü·ÃÀÌ ÀÖ´Ù. ÀÌ µÎ ¹ø° Ãë¾àÁ¡Àº ÃÖ±Ù ¹ß»ýÇÑ 3CX °ø±Þ¸Á °ø°Ý Ãë¾àÁ¡°úµµ °ü°è°¡ ÀÖ´Ù. 97°³ Ãë¾àÁ¡ Áß MS°¡ ¡®ÃÊ°íÀ§Çèµµ¡¯·Î ºÐ·ùÇÑ Ãë¾àÁ¡Àº ÃÑ 7°³´Ù.
[À̹ÌÁö = utoimage]
·£¼¶¿þ¾î °ø°Ý¿¡ È°¿ëµÈ Á¦·Îµ¥ÀÌ
À̹ø ´Þ¿¡ ÆÐÄ¡µÈ Ãë¾àÁ¡µé Áß 45°³´Â ¿ø°Ý ÄÚµå ½ÇÇà °ø°ÝÀ» °¡´ÉÇÏ°Ô ÇÏ´Â °ÍÀ¸·Î ºÐ·ùµÆ´Ù. Áö³ 1~3¿ù µ¿¾È ¹ßÇàµÈ Á¤±â ÆÐÄ¡ Áß ¿ø°Ý ÄÚµå ½ÇÇà °ø°ÝÀ» °¡´ÉÇÏ°Ô ÇÏ´Â Ãë¾àÁ¡Àº Æò±Õ 33°³¿´´Ù. ²Ï³ª ±ÞÁõÇÑ °Å¶ó°í º¼ ¼ö ÀÖ´Ù. ÇÏÁö¸¸ MS´Â À̹ø¿¡ ¹ßÇ¥µÈ Ãë¾àÁ¡ Áß 90% °¡±îÀ̸¦ ¡°½ÇÁ¦ ÀͽºÇ÷ÎÀÕ °¡´É¼ºÀÌ ³·´Ù¡±°í º¸°í ÀÖ´Ù. °¡´É¼ºÀÌ ³ôÀº Ãë¾àÁ¡Àº 9%¿¡ ±×ÃÆ´Ù°í ÇÑ´Ù.
À̹ø ´Þ ÆÐÄ¡µÈ Á¦·Îµ¥ÀÌ Ãë¾àÁ¡Àº ´ÙÀ½°ú °°´Ù.
1) CVE-2023-28252 : CLFS¶ó´Â ¿ä¼Ò¿¡¼ ¹ß°ßµÇ¾ú°í, ±ÇÇÑ »ó½ÂÀ» ÀÏÀ¸Å°´Â °ÍÀ¸·Î ºÐ¼®µÆ´Ù.
2) CVE-2022-37969 : »ç¿ëÀÚ ½Ã½ºÅÛ¿¡ Á¢±ÙÇÏ´Â µ¥ ÀÌ¹Ì ¼º°øÇÑ °ø°ÝÀÚµéÀÌ ±ÇÇÑÀ» »ó½Â½Ãų ¼ö ÀÖ°Ô ÇØ ÁÖ´Â Ãë¾àÁ¡ÀÌ´Ù.
º¸¾È ¾÷ü ¿ÀÅä¸ñ½º(Automox)ÀÇ º¸¾È ¿¬±¸¿ø Áö³ª ÁöÁ©(Gina Geisel)Àº ¡°Ã¹ ¹ø° Á¦·Îµ¥ÀÌ Ãë¾àÁ¡ÀÇ °æ¿ì ¸Þ¸ð¸® ³» °´Ã¼µé°ú CLFS µå¶óÀ̹ö°¡ »óÈ£ÀÛ¿ëÇÏ´Â ¹æ½Ä¿¡ ´ëÇÑ °á°ú·Î½á ¹ßÇöµÈ´Ù¡±°í ¼³¸íÇÑ´Ù. ÀͽºÇ÷ÎÀÕÀ» ÇÏ·Á¸é ¸ÕÀú ÇÇÇØÀÚÀÇ ½Ã½ºÅÛ¿¡ °ø°ÝÀÚ°¡ ·Î±×ÀÎ ÇÏ°í ÀÖ¾î¾ß ÇÑ´Ù. ¡°ÀúÈñ ¿ÀÅä¸ñ½º´Â °í°´µé¿¡°Ô 24½Ã°£ ¾È¿¡ ÀÌ Ãë¾àÁ¡Àº ²À ÆÐÄ¡Ç϶ó°í ±Ç°íÇÏ°í ÀÖ½À´Ï´Ù. ÀÌ¹Ì °ø°ÝÀÌ ½ÃÀ۵Ʊ⠶§¹®ÀÔ´Ï´Ù.¡±
º¸¾È ¾÷ü Ä«½ºÆÛ½ºÅ°(Kaspersky)µµ CVE-2023-28252 Ãë¾àÁ¡ÀÌ ÀÌ¹Ì ÀͽºÇ÷ÎÀÕ µÇ°í ÀÖ´Ù°í °æ°íÇÑ´Ù. ¡°ÀúÈñ ÂÊ¿¡¼´Â ³ëÄھ߿Í(Nokoyawa)¶ó´Â ·£¼¶¿þ¾î°¡ ÀÌ Ãë¾àÁ¡À» ÅëÇØ À¯Æ÷µÇ°í ÀÖ´Â °ÍÀ» ¹ß°ßÇß½À´Ï´Ù. ÇÇÇØÀÚµéÀº ÁÖ·Î ºÏ¹Ì, Áßµ¿, ¾Æ½Ã¾Æ Áö¿ªÀÇ Áß¼Ò±â¾÷µéÀ̾ú½À´Ï´Ù.¡± Ä«½ºÆÛ½ºÅ°´Â ÀÌ·¯ÇÑ »ç½ÇÀ» Áö³ 2¿ù MS¿¡ Á¦º¸Çß¾ú´Ù.
°ú°Å¸¦ ÆÐÄ¡ÇÏ´Ù
µÎ ¹ø° Á¦·Îµ¥ÀÌ´Â 10³â µÈ À©µµ Ãë¾àÁ¡ÀÎ CVE-2013-3900°ú °ü·ÃÀÌ ±í´Ù. ÀÌ Ãë¾àÁ¡ÀÇ °æ¿ì ºÏÇÑÀÇ ¶óÀڷ罺(Lazarus)·Î ÃßÁ¤µÇ´Â ÇØÅ· Áý´ÜÀÌ ÃÖ±Ù ÀͽºÇ÷ÎÀÕ Çϱ⠽ÃÀÛÇß´Ù´Â °æ°í°¡ º¸¾È ¾÷°è¿¡¼ ³ª¿À°í ÀÖ´Ù. ±× °ø°ÝÀÌ ¹Ù·Î 3CX °ø±Þ¸Á °ø°ÝÀÌ´Ù.
MS´Â ÀÌ Ãë¾àÁ¡ÀÇ ÆÐÄ¡¸¦ 2013³â¿¡ °³¹ßÇØ ¹ßÇ¥Çß¾ú´Ù. ´Ù¸¸ ¸ðµç À©µµ ½Ã½ºÅÛ¿¡ ÀüºÎ Àû¿ëµÇ´Â °Ô ¾Æ´Ï¶ó »ç¿ëÀÚ°¡ º°µµ·Î ¼±ÅÃÇØ ÆÐÄ¡¸¦ ÇÏ´Â ¿ÉÆ®ÀÎ ¹æ½ÄÀ¸·Î ¹èÆ÷µÆ¾ú´Ù. ÀϺΠ»ç¿ëÀÚ È¯°æ¿¡¼ ÆÐÄ¡°¡ ¿ÀÈ÷·Á ¹®Á¦°¡ µÉ °¡´É¼ºÀÌ ÀÖ¾ú±â ¶§¹®ÀÌ´Ù. ÇÏÁö¸¸ À̹ø 4¿ù Á¤±â ÆÐÄ¡¸¦ ÅëÇØ MS´Â º¸´Ù °·ÂÇÑ ¹æ½ÄÀ¸·Î ÆÐÄ¡°¡ Àû¿ëµÇµµ·Ï ÇßÀ¸¸ç, ±×·¯¹Ç·Î ´õ ¸¹Àº À©µµ »ç¿ëÀڵ鿡°Ô ÇýÅÃÀÌ °¡µµ·Ï Çß´Ù.
Áö³ªÄ¡°Ô ¸¹Àº ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡
µÎ °³ÀÇ Á¦·Îµ¥ÀÌ Ãë¾àÁ¡ ¿Ü¿¡µµ ±ä±ÞÈ÷ ÆÐÄ¡ÇØ¾ß ÇÒ Ãë¾àÁ¡µéÀÌ ÁöÀûµÆ´Ù. ±× Áß Çϳª´Â CVE-2023-21554ÀÌ´Ù. MSMQ¶ó´Â ±â¼ú¿¡¼ ¹ß°ßµÈ Ãë¾àÁ¡À¸·Î, ÀͽºÇ÷ÎÀÕ¿¡ ¼º°øÇÑ °ø°ÝÀڴ Ư¼öÇÏ°Ô Á¶ÀÛµÈ MSMQ ÆÐŶÀ» MSMQ ¼¹ö¿¡ Àü¼ÛÇÔÀ¸·Î½á ¿ø°Ý ÄÚµå ½ÇÇà °ø°ÝÀ» ¼º°ø½Ãų ¼ö ÀÖ´Ù°í ÇÑ´Ù. À©µµ 10, 11, À©µµ ¼¹ö 2008~2022±îÁö ÀüºÎ ¿µÇâÀ» ÁØ´Ù. º¸¾È ¾÷ü ¿ÀÅä¸ñ½ºÀÇ ÇÇÅÍ Çöó½ºÅÍ(Peter Pflaster)´Â ¡°ÀÌ Ãë¾àÁ¡Àº °ø°ÝÀÚµéÀÌ ½ÇÁ¦ ÀͽºÇ÷ÎÀÕ Çغ½Á÷ÇÑ °ÍÀ¸·Î, °ø°Ý °¡´É¼ºÀÌ ¸Å¿ì ³ô¾Æ º¸¿© ½Ã±ÞÇÑ ÆÐÄ¡ Àû¿ëÀÌ ÇÊ¿äÇÏ´Ù¡±°í °æ°íÇß´Ù.
±× ´ÙÀ½À¸·Î ÁÖ¸ñÇØ¾ß ÇÒ °Ç CVE-2023-28250ÀÌ´Ù. ¹æ±Ý ¾ð±ÞµÈ CVE-2023-21554ó·³ CVSS ±âÁØ 9.8Á¡À» ¹Þ¾ÒÀ¸¸ç, ¿ö¸Óºí(wormable) Ư¼ºÀ» °¡Áö°í ÀÖ´Ù. Áï °ø°ÝÀ» ÁõÆø½Ãų ¼ö ÀÖ´Â Ãë¾àÁ¡À̶ó´Â ¶æÀÌ´Ù. ÇÇÇØÀÚ°¡ ¹Þ´Â ¿µÇâÀÌ Á¦¹ý Ŭ °ÍÀ¸·Î ºÐ¼®µÈ´Ù. º¸¾È ¾÷ü Ä÷¸®½º(Qualys)ÀÇ Ãë¾àÁ¡ ¿¬±¸ Ã¥ÀÓÀÚ ¹Ù¶ù Á¶±â(Bharat Jogi)´Â ¡°¿ö¸Óºí Ư¼ºÀÌ ÀÖ´Â Ãë¾àÁ¡Àº ÆÐÄ¡ ¿ì¼±¼øÀ§¿¡¼ »ó´çÈ÷ ¾Õ¿¡ ¿Í¾ß ÇÑ´Ù¡±°í °Á¶ÇÑ´Ù.
½Ã±ÞÈ÷ ÆÐÄ¡ÇØ¾ß ÇÒ ¼¼ ¹ø° Ãë¾àÁ¡Àº CVE-2023-28231ÀÌ´Ù. DHCP ¼¹ö¿¡¼ ¹ß°ßµÆÀ¸¸ç ¿ø°Ý ÄÚµå ½ÇÇàÀ» °¡´ÉÇÏ°Ô ÇÑ´Ù. MSµµ ÀÌ Ãë¾àÁ¡Àº ÀͽºÇ÷ÎÀÕ °¡´É¼ºÀÌ ³ôÀº °ÍÀ¸·Î ºÐ·ùÇß´Ù. ´Ù¸¸ ÀÌ Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ ÇÏ·Á¸é ÇÇÇØÀÚÀÇ ½Ã½ºÅÛ¿¡ ´Ù¸¥ ¹æ¹ýÀ¸·Î Á¢¼ÓÇØ ÀÖ¾î¾ß ÇÑ´Ù. ÀͽºÇ÷ÎÀÕ¿¡ ¼º°øÇϸé DHCP ¼¹ö¿¡¼ ¿ø°Ý ÄÚµå ½ÇÇà °ø°ÝÀ» ÇÒ ¼ö ÀÖ°í, µû¶ó¼ ÇÇÇØ°¡ Ä¿Áú ¼ö ÀÖ´Ù°í ÇÑ´Ù.
3ÁÙ ¿ä¾à
1. MSÀÇ 4¿ù ÆÐÄ¡ Æ©Áîµ¥ÀÌ°¡ ¹Ù·Î ¿À´Ã.
2. Á¦·Îµ¥ÀÌ 2°³¿Í ÃÊ°íÀ§Çèµµ Ãë¾àÁ¡ 3°³ Á¤µµ´Â ½Ã±ÞÈ÷ ÆÐÄ¡ÇØ¾ß ÇÔ.
3. À̹ø ´Þ ÆÐÄ¡µÈ Ãë¾àÁ¡Àº ÃÑ 97°³·Î ¸¹Àº Æí.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>