±â¾÷ »ç¿ë ¹æȺ® ½ºÀ§Ä¡´Â ¿ÜºÎ ÀÎÅÍ³Ý ³ëÃâ Á¢Á¡ Â÷´Ü, ÀåÄ¡ ¼ÒÇÁÆ®¿þ¾î ¾÷µ¥ÀÌÆ®µµ Áß¿ä
[º¸¾È´º½º ±è¿µ¸í ±âÀÚ] Â÷¼¼´ë ¹æȺ®À¸·Î Àß ¾Ë·ÁÁø ÁÖ´ÏÆÛ SRX ¹æȺ® ½Ã¸®Á °ø±ÞÇÏ°í ÀÖ´Â ÁÖ´ÏÆÛ ³×Æ®¿÷½º(Juniper Networks)´Â »ç¿ëÇÏ´Â ¹æȺ®¡¤Àåºñ Àü¿ë OSÀÎ Junos OSÀÇ J-Web°ú ¿¬°üµÈ ³× °¡Áö Ãë¾àÁ¡À» ¹ßÇ¥Çß´Ù.
¡ãRCE Ãë¾àÁ¡¿¡ ³ëÃâµÈ J-Web ÁÖ´ÏÆÛ ¹æȺ® °ü¸® ½Ã½ºÅÛ[ÀÚ·á=CIPºí·Î±×]
º¸¾È±â¾÷ ¿¡À̾ÆÀ̽ºÆä¶ó(AI SPERA)ÀÇ ºÐ¼®¿¡ µû¸£¸é, ÇØ´ç Ãë¾àÁ¡ÀÇ CVE ÄÚµå´Â ¡âCVE-2023-36844 ¡âCVE-2023-36845 ¡âCVE-2023-36846 ¡âCVE-2023-36847 µîÀÌ´Ù. ÁÖ´ÏÆÛ ³×Æ®¿÷½º´Â ³×Æ®¿öÅ© º¸¾È ¾÷°è¿¡¼ °¡Àå ¿À·¡µÇ°í À¯¸íÇÑ ¿£ÅÍÇÁ¶óÀÌÁî °ø±Þ ¾÷üÀ̱⠶§¹®¿¡ Àü ¼¼°è ¼ö¸¹Àº ±â¾÷ÀÇ »ç³»¸Á¿¡´Â ÇØ´ç Àåºñ°¡ »ç¿ëµÇ°í ÀÖ´Ù.
ÁÖ´ÏÆÛ ³×Æ®¿÷½º°¡ ¹ßÇ¥ÇÑ ÀÌ Ãë¾àÁ¡µé °¢°¢ÀÇ CVSS Á¡¼ö´Â 5Á¡´ë¿¡ ºÒ°úÇØ ¾ð¶æ º¸¸é À§ÇèÇÏÁö ¾ÊÀ» °Í °°Áö¸¸, ÀÌ Ãë¾àÁ¡µéÀ» °áÇÕÇÏ¸é ¿¬¼â¹ÝÀÀÀ¸·Î RCE(Remote Code Execution, ¿ø°ÝÄÚµå ½ÇÇà) °ø°Ý±îÁö °¡´ÉÇÑ ¸Å¿ì ½É°¢ÇÑ Ãë¾àÁ¡ÀÌ´Ù. CVSSv3 ³»¿¡¼ ÀÌ Ãë¾àÁ¡ÀÇ ÅëÇÕ µî±ÞÀº 9.8Á¡À» ¹Þ¾Ò´Ù.
ÁÖ´ÏÆÛ ³×Æ®¿÷½º Àåºñ´Â Å©°Ô ½ºÀ§Ä¡ÀÎ ¡®EX ½Ã¸®Á¿Í, ¹æȺ®ÀÎ ¡®SRX ½Ã¸®Á·Î ³ª´¶´Ù. ¸ÕÀú, ¡®CVE-2023-36846¡¯°ú ¡®CVE-2023-36847¡¯´Â EX ½Ã¸®Áî ¹× SRX ½Ã¸®ÁîÀÇ ÁÖ´ÏÆÛ ³×Æ®¿÷½º Junos OS¿¡ ÀÖ´Â Áß¿äÇÑ ±â´É¿¡ ´ëÇÑ 2°³ÀÇ ÀÎÁõ ´©¶ô Ãë¾àÁ¡ÀÌ´Ù. ÇØ´ç Ãë¾àÁ¡À¸·Î ÀÎÁõµÇÁö ¾ÊÀº ³×Æ®¿öÅ© ±â¹Ý °ø°ÝÀÚ°¡ ½Ã½ºÅÛ¿¡ Á¦ÇÑµÈ ¿µÇâÀ» ¹ÌÄ¥ ¼ö ÀÖ´Ù. µÎ °³ Ãë¾àÁ¡¿¡ ´ëÇÑ CVSS Á¡¼ö´Â 5.3Á¡ÀÌ´Ù.
¶ÇÇÑ, ¡®CVE-2023-36844¡¯¿Í ¡®CVE-2023-36845¡¯´Â EX ½Ã¸®Áî ¹× SRX ½Ã¸®ÁîÀÇ ÁÖ´ÏÆÛ ³×Æ®¿÷½º Junos OS J-Web¿¡ ÀÖ´Â µÎ °¡Áö PHP ¿ÜºÎ º¯¼ö ¼öÁ¤ Ãë¾àÁ¡ÀÌ´Ù. ÀÌ µÎ °³ Ãë¾àÁ¡À¸·Î ÀÎÇØ ÀÎÁõµÇÁö ¾ÊÀº ³×Æ®¿öÅ© ±â¹Ý °ø°ÝÀÚ°¡ Áß¿äÇÑ Æ¯Á¤ ȯ°æ º¯¼ö¸¦ Á¦¾îÇÒ ¼ö ÀÖ´Ù. °¢°¢ Ãë¾àÁ¡ÀÇ CVSS Á¡¼ö´Â 5.3Á¡ÀÌ´Ù.
¡ã°Ë»öµÈ IP ÁÖ¼ÒÀÇ ¿¸° Æ÷Æ® Á¤º¸. TCP 443 Æ÷Æ®¿¡¼ J-WebÀÌ °¡µ¿µÇ°í ÀÖ´Ù[ÀÚ·á=CIPºí·Î±×]
¡®CVE-2023-36846¡¯ ¹× ¡®CVE-2023-36847¡¯ µî µÎ °³ Ãë¾àÁ¡Àº J-WebÀ» ÅëÇØ °ø°ÝÀÚ°¡ ÀÓÀÇÀÇ ÆÄÀÏÀ» ¾÷·ÎµåÇÒ ¼ö ÀÖ´Â Ãë¾àÁ¡ÀÌ´Ù. ÇÏÁö¸¸ ÆÄÀÏ ¾÷·Îµå°¡ µÉ »Ó Ãß°¡ÀûÀÎ ¹®Á¦´Â ¹ß»ýÇÏÁö ¾Ê±â ¶§¹®¿¡ CVSS 5.3Á¡À¸·Î ³ôÁö ¾ÊÀº Á¡¼ö¸¦ ¹Þ¾Ò´Ù. ¡®CVE-2023-36844¡¯¿Í ¡®CVE-2023-36845¡¯´Â PHPÀÇ ¿ÜºÎ º¯¼ö¸¦ ¼öÁ¤ÇÒ ¼ö ÀÖ´Â Ãë¾àÁ¡ÀÌ´Ù. ÀÌ ¿ª½Ã PHP ¼³Á¤À» º¯°æÇÏ´õ¶óµµ ½Ã½ºÅÛ¿¡ Å« ¿µÇâÀ» ¹ÌÄ¡±â ¾î·Á¿ì¸ç, CVSS 5.3Á¡À» ¹Þ¾Ò´Ù.
°¢°¢ÀÇ Ãë¾àÁ¡Àº 5.3Á¡À¸·Î Áß°£ ·¹º§ÀÇ Á¡¼ö¸¦ ¹Þ¾ÒÀ¸¸ç, µ¶¸³ÀûÀ¸·Î Á¸ÀçÇÑ´Ù¸é Å« À§ÇùÀº µÇÁö ¾Ê´Â´Ù. ÇÏÁö¸¸ ù ¹ø° Ãë¾àÁ¡À¸·Î ÀÓÀÇÀÇ ÆÄÀÏÀ» ¾÷·ÎµåÇÏ°í, µÎ ¹ø° Ãë¾àÁ¡À¸·Î ¾÷·ÎµåÇÑ ÆÄÀÏ°ú ¿¬°üµÈ PHP ¼Ó¼ºÀ» º¯°æÇÏ¸é ¹ö±× üÀÎÀ¸·Î ¼·Î À¶ÇÕµÇ¸é¼ RCE È¿°ú¸¦ ³¾ ¼ö ÀÖ´Ù. ÀÌ·¸°Ô °áÇÔÀ» °áÇÕÇÏ´Â µ¥ ¼º°øÇÏ¸é °ø°ÝÀÚ´Â ÀÎÁõµÇÁö ¾ÊÀº ³×Æ®¿öÅ© ±â¹Ý¿¡¼ ¿ø°ÝÀ¸·Î Äڵ带 ½ÇÇàÇÒ ¼ö ÀÖ°Ô µÈ´Ù. ÀÌ ¶§¹®¿¡ SVSS Á¡¼ö 5Á¡ ´ëÀÇ CVE´Â 9Á¡´ë·Î ±Þ»ó½ÂÇÑ °ÍÀÌ´Ù.
ÁÖ´ÏÆÛ ¹æȺ®°ú °°Àº ÁÖ´ÏÆÛ ³×Æ®¿÷½ºÀÇ Á¦Ç°µéÀº ÀÌ¹Ì °ø°Ý Ç¥¸é¿¡ ¸¹ÀÌ ³ëÃâµÅ ÀÖ´Ù. ¿¡À̾ÆÀ̽ºÆä¶ó°¡ ÀÚü °³¹ßÇÑ Criminal IP Asset Search¿¡¼ ¡®Juniper Web Device Manager¡¯¶ó´Â Å°¿öµå·Î °Ë»öÇØ º¸¸é 19¸¸°³ ÀÌ»óÀÇ ÁÖ´ÏÆÛ ³×Æ®¿÷½ºÀÇ J-WebÀÌ ¿Â¶óÀο¡ ³ëÃâµÈ °ÍÀ» È®ÀÎÇÒ ¼ö ÀÖ´Ù. RCE ¹ö±× üÀÎ Ãë¾àÁ¡ÀÇ ÀͽºÇ÷ÎÀÕÀÌ °ø°³µÈ Áö±Ý, Á¢±ÙÇϱ⠽±°Ô ³ëÃâµÅ ÀÖ´Â ÀÌ ¼¹öµéÀº °¡Àå ºü¸£°Ô ÇØÄ¿µéÀÇ °ø°Ý Ÿ±êÀÌ µÉ °¡´É¼ºÀÌ ³ô´Ù. ÁÖ´ÏÆÛ ³×Æ®¿÷½º´Â ¿¹ÀüºÎÅÍ ¸¹Àº Ãë¾àÁ¡¿¡ ½Ã´Þ·Á¿Ô°í, °ø°ÝÀÚµéÀº ÀÌ Ãë¾àÁ¡À» ²ÙÁØÈ÷ ¾Ç¿ëÇÏ°í ÀÖ´Ù. ÀÌ Á¡À» ÀÌ¿ëÇØ ÁÖ´ÏÆÛ ³×Æ®¿÷½º¸¦ °¡ÀåÇÑ Çã´ÏÆ̵µ ¸¹ÀÌ Á¸ÀçÇÑ´Ù.
¡ã¿Â¶óÀο¡ ³ëÃâµÈ J-Web ¼¹ö¿¡ ¼¯¿© ÀÖ´Â Çã´ÏÆÌ ¼¹ö IP ÁÖ¼Ò Á¤º¸[ÀÚ·á=CIPºí·Î±×]
¹Ì±¹ »çÀ̹öº¸¾È ¹× ÀÎÇÁ¶ó º¸¾È±¹(CISA)´Â ¿ÃÇØ 6¿ù ¹Ì±¹ ¿¬¹æ ±â°ü¿¡ ÁÖ´ÏÆÛ ¹æȺ® ¹× ½ºÀ§Ä¡ ÀåÄ¡¿Í °°ÀÌ ÀÎÅͳݿ¡ ³ëÃâµÇ°Å³ª À߸ø ±¸¼ºµÈ ³×Æ®¿öÅ· Àåºñ¿¡ ´ëÇØ ¹ß°ß ÈÄ 2ÁÖ À̳»¿¡ º¸È£Ç϶ó´Â ¿ÃÇØ Ã¹ ¹ø° ±¸¼Ó·Â ÀÖ´Â ¿î¿µ Áöħ(BOD)À» ³»·È´Ù. CISA´Â ¡°ÀÌ ÁöħÀº ¿¬¹æ¹Î°£ÇàÁ¤ºÎ(FCEB) ±â°üÀÌ Æ¯Á¤ ÀåÄ¡ Àü¹Ý¿¡ ´ëÇØ ¾ÈÀüÇÏÁö ¾Ê°Å³ª À߸ø ±¸¼ºµÈ °ü¸® ÀÎÅÍÆäÀ̽º·Î ÀÎÇØ ¹ß»ýÇÏ´Â °ø°Ý Ç¥¸éÀ» ÁÙÀ̱â À§ÇÑ Á¶Ä¡¸¦ ÃëÇϵµ·Ï ¿ä±¸ÇÑ´Ù¡±¶ó°í ¹àÈ÷±âµµ Çß´Ù.
ÁÖ´ÏÆÛ ¹æȺ® ¹× ½ºÀ§Ä¡ ¹ö±× üÀÎ ÀͽºÇ÷ÎÀÕÀ» ¿¹¹æÇÏ´Â ¹æ¹ýÀº CISAÀÇ ¿î¿µ ÁöħÀ» ±×´ë·Î ¹Ý¿µÇÏ¸é µÈ´Ù. »ç¿ë ÁßÀÎ J-Web ÀÎÅÍÆäÀ̽º¸¦ ºñÈ°¼ºÈÇϰųª Á¢±ÙÀ» Á¦ÇÑÇÏ´Â °ÍÀÌ´Ù. ±â¾÷ ¶Ç´Â ±â°ü¿¡¼ »ç¿ëÇÏ´Â ¹æȺ®, ½ºÀ§Ä¡¿Í °°Àº Àåºñ´Â ¿ÜºÎ¿¡¼ Á¢±ÙÇÒ ¼ö ¾øµµ·Ï öÀúÈ÷ ¿ÜºÎ ÀÎÅÍ³Ý ³ëÃâ Á¢Á¡À» ¾ø¾Ö¾ß ÇÑ´Ù. ¶ÇÇÑ, ¿µÇâÀ» ¹Þ´Â ÀåÄ¡¸¦ ½ÇÇàÇÏ´Â »ç¿ëÀÚ´Â ÃÖ´ëÇÑ »¡¸® ÆÐÄ¡¸¦ Àû¿ëÇØ ¾÷µ¥ÀÌÆ®ÇÏ´Â °ÍÀÌ Áß¿äÇÏ´Ù.
[±è¿µ¸í ±âÀÚ(boan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>