[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] F5 ³×Æ®¿öÅ©ÀÇ ºòIP¿Í ºòIQ ¾ÖÇø®ÄÉÀ̼ÇÀ» »ç¿ëÇÏ´Â Á¶Á÷µé¿¡ ºñ»ó ¾÷µ¥ÀÌÆ® ±Ç°í°¡ Àü´ÞµÆ´Ù. Ä¡¸íÀûÀÎ Ãë¾àÁ¡ÀÌ ¿©·¯ °³ ¹ß°ßµÆ±â ¶§¹®ÀÌ´Ù. ÀÌÁß¿¡´Â °ø°ÝÀÚ°¡ ÇÇÇØÀÚÀÇ ½Ã½ºÅÛÀ» ¿ÏÀüÈ÷ Á¤º¹ÇÏ°í ¾Ç¼º Äڵ带 ½ÇÇàÇÒ ¼ö ÀÖ°Ô ÇØÁÖ´Â Ãë¾àÁ¡µµ Æ÷ÇԵǾî ÀÖ´Ù.
[À̹ÌÁö = utoimage]
º¸¾È ¾÷ü ºñ¼óÆø½º(Bishop Fox)ÀÇ ¼ö¼® ºÐ¼®°¡ÀÎ Àú½ºÆ¾ ¶óÀÎÇÏÆ®(Justin Rhinehart)´Â ¡°°ú°Å F5 Á¦Ç°µé¿¡¼ ¹ß°ßµÈ Ãë¾àÁ¡°ú, ±×¿¡ °üÇÑ ÀͽºÇ÷ÎÀÕ°ú ´Þ¸®, À̹ø Ãë¾àÁ¡µéÀº °ü¸®ÀÚ ÀÎÅÍÆäÀ̽º¿¡ ´ëÇÑ ¿ÜºÎ·ÎºÎÅÍ Á¢±ÙÀ» Â÷´ÜÇÑ´Ù°í Çؼ ÇØ°áÀÌ µÇÁö ¾Ê´Â´Ù¡±°í °Á¶ÇÑ´Ù. ¡°À̹ø ÁÖ¿¡ ¹ß°ßµÈ µÎ °¡Áö Ä¡¸íÀû À§ÇèµµÀÇ Ãë¾àÁ¡Àº ºòIP(BIG-IP) Ç÷§ÆûÀ» Åë°úÇÏ´Â ¸ðµç Æ®·¡ÇÈÀ» ó¸®ÇÏ´Â ¿ä¼Òµé°úµµ °ü·ÃÀÌ ÀÖ½À´Ï´Ù. ¾îÁß°£ÇÏ°Ô ¿ÏȽÃÅ°±â Èûµé´Ù´Â °ÍÀÌÁÒ. ÆÐÄ¡¸¦ Çؾ߸¸ ÇÕ´Ï´Ù.¡±
½ÇÁ¦ ¹ß»ýÇÒ ¼ö ÀÖ´Â ÃÖ¾ÇÀÇ ½Ã³ª¸®¿À´Â, ¡°°ø°ÝÀÚ°¡ Ãë¾àÇÑ F5 ºòIP¸¦ ÅëÇØ ±â¾÷ ³»ºÎ ³×Æ®¿öÅ©·Î ħÅõÇÏ´Â °Í¡±À̶ó°í ÇÑ´Ù. ¡°°ø°ÝÀÚµéÀÌ ÀÌ·± ÀåºñµéÀ» ÅëÇØ ÇÇÇØÀÚÀÇ ³×Æ®¿öÅ©¿¡ ħÅõÇØ µé¾î°¡´Â °Ç ¾Ç¸ù°ú °°Àº ÀÏÀÌÁÒ. ±â²¯ ¿ÜºÎ¿¡¼ÀÇ Á¢±ÙÀ» ¸·¾Æ³ù´ø ¹Î°¨ÇÑ ÀÚ»êµé±îÁöµµ ¿ÜºÎÀÚÀÇ ¿¶÷¿¡ ¹«Â÷º°ÀûÀ¸·Î ³ëÃâµÇ´Â °ÍÀ̴ϱî¿ä.¡±
F5 ³×Æ®¿÷½º´Â À̹ø ÁÖ ¼ö¿äÀÏ ºòIP 11.6 ¹öÀü°ú 12.x, ȤÀº ±× ÀÌ»ó ¹öÀü¿¡¼ ³× °¡Áö Ä¡¸íÀû À§ÇèµµÀÇ Ãë¾àÁ¡À» ¹ß°ßÇß´Ù°í ¹ßÇ¥Çß´Ù. ÀÌ Ãë¾àÁ¡ Áß ÇÑ °¡Áö´Â ºòIQ(BIG-IQ)¶ó´Â Á¦Ç°ÀÇ 6.x ¹öÀü°ú 7.x ¹öÀü¿¡µµ ¿µÇâÀ» ¹ÌÄ¡´Â °ÍÀ¸·Î ¾Ë·ÁÁ³´Ù. ±× ¿Ü¿¡µµ 7°¡Áö °íÀ§Ç豺 Ãë¾àÁ¡°ú 10°¡Áö Áß°£±Þ À§Ç豺 Ãë¾àÁ¡À» ¹ß°ßÇØ ÆÐÄ¡Çϱ⵵ Çß¾ú´Ù.
F5´Â ÀÚ»ç ºí·Î±×¸¦ ÅëÇØ ¡°ºòIP¿Í ºòIQ °í°´µéÀ̶ó¸é ¿¹¿Ü ¾øÀÌ À̹ø ÆÐÄ¡¸¦ Àû¿ëÇÏ´Â °Ô ÁÁÀ» °Í¡±À̶ó°í ±Ç°íÇÏ°í ÀÖ´Ù. ½ÉÁö¾î ¹Ì±¹ ±¹Åä¾Èº¸ºÎ »êÇÏ »çÀ̹ö º¸¾È ´ã´ç Á¶Á÷ÀÎ CISAµµ °°Àº ³»¿ëÀÇ ±Ç°í¸¦ ¹Ì±¹ ÇöÁö ½Ã°¢À¸·Î ¼ö¿äÀÏ¿¡ ³»º¸³Â´Ù. ¡°¸ðµç º¸¾È ´ã´çÀÚµéÀº F5°¡ ¹ßÇ¥ÇÑ º¸¾È ±Ç°í¹®À» °ËÅäÇÏ°í, ÇÊ¿äÇÑ Á¶Ä¡¸¦ ¾È³»¿¡ µû¶ó ÃëÇ϶󡱴 °Ô ±× ³»¿ëÀÌ´Ù.
Áö³ ÇØ 6¿ù CISA´Â F5ÀÇ ºòIP ±â¼úÀÌ °ø°ÝÀÚµéÀÇ Ç¥ÀûÀÌ µÇ°í ÀÖ´Ù´Â °æ°í¹®À» ³»º¸³»±âµµ Çß¾ú´Ù. À̹ø¿¡ ¹ß°ßµÈ Ãë¾àÁ¡µé°ú ºñ½ÁÇÏ°Ô, °ø°ÝÀÚµéÀÌ ±â¾÷(±â°ü) ³×Æ®¿öÅ©·Î ħÅõÇÒ ¼ö ÀÖµµ·Ï ÇØ ÁÖ´Â °Ô °¡Àå Å« ¹®Á¦¿´´Ù. ´ç½Ã °ø°ÝÀÚµéÀÌ ½ÇÁ¦·Î ºòIPÀÇ Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ ÇÏ°í ÀÖ´Ù´Â °æ°í¼º º¸µµ°¡ ¿©±â Àú±â¼ ³ª¿À°í Àֱ⵵ Çß¾ú´Ù.
À̹ø¿¡ F5°¡ ÆÐÄ¡ÇÑ Ä¡¸íÀû À§ÇèµµÀÇ Ãë¾àÁ¡Àº ´ÙÀ½°ú °°´Ù.
1) CVE-2021-22986 : ºòIP ¾ÆÀÌÄÁÆ®·Ñ ·¹½ºÆ®(iControl REST)ÀÇ ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡.
2) CVE-2021-22987 : Æ®·¡ÇÈ ¸Å´ÏÁö¸ÕÆ® À¯Àú ÀÎÅÍÆäÀ̽º(Traffic Management User Interface)ÀÇ ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡.
3) CVE-2021-22991 : Æ®·¡ÇÈ ¸Å´ÏÁö¸ÕÆ® ¸¶ÀÌÅ©·ÎÄ¿³Î(Traffic Management Microkernel)ÀÇ ¹öÆÛ ¿À¹öÇ÷οì Ãë¾àÁ¡.
4) CVE-2021-22992 : WAF/ASM ¹öÆÛ ¿À¹öÇ÷οì Ãë¾àÁ¡.
¶óÀÎÇÏÆ®´Â ¡°ºòIP Ç÷§ÆûÀº ³×Æ®¿öÅ©¸¦ µå³ªµå´Â ¸ðµç µ¥ÀÌÅ͸¦ °ü¸®ÇÏ´Â ÀåÄ¡À̱⠶§¹®¿¡, ¿©±â¼ Ãë¾àÁ¡ÀÌ ¹ß°ßµÆ´Ù´Â °Ç ²Ï³ª ½É°¢ÇÑ »ç¾È¡±À̶ó°í ¼³¸íÇÑ´Ù. ¡°±× ¾î¶² Àåºñ¿¡¶óµµ ´©±º°¡ ¿ø°Ý¿¡¼ Äڵ带 ½ÇÇàÇÒ ¼ö ÀÖ°Ô ÇØ ÁÖ´Â Ãë¾àÁ¡ÀÌ ¹ß°ßµÈ´Ù¸é ²Ï³ª Å« ÀÏÀε¥, ±×°Ô µ¥ÀÌÅ͸¦ °ü¸®ÇÏ´Â Àåºñ¶ó¸é Ãæ°ÝÀÌ ÈξÀ Ä¿Áý´Ï´Ù. ºòIP³ª ºòIQ¸¦ »ç¿ëÇÏ´Â Á¶Á÷µéÀ̶ó¸é °¡Àå ½Ã±ÞÈ÷ ÇØ°áÇØ¾ß ÇÒ °ÍÀÌ ¹Ù·Î ÀÌ ¿ä¼ÒµéÀÇ ÆÐÄ¡µéÀÏ °ÍÀÔ´Ï´Ù.¡±
¸¸¾à Áï°¢ÀûÀÎ ÆÐÄ¡°¡ ºÒ°¡´ÉÇÑ »óȲÀ̶ó¸é ÃÖ¼ÒÇÑ ¾ÆÀÌÄÁÆ®·Ñ ·¹½ºÆ®(iControl REST) ÀÎÅÍÆäÀ̽º¿¡ ¾Æ¹«³ª Á¢±ÙÇÏÁö ¸øÇϵµ·Ï ¸¸µéµµ·Ï ¼³Á¤ÇÏ´Â °Í Á¤µµ´Â ÇØ¾ß ÇÑ´Ù°í ¶óÀÎÇÏÆ®´Â °Á¶ÇÑ´Ù. ¡°¸»Ã³·³ ½¬¿î ÀÏÀÌ ¾Æ´Ñ °ÍÀº ºÐ¸íÇÕ´Ï´Ù. ÇÏÁö¸¸ F5°¡ ÀÌ ºÎºÐ¿¡ ´ëÇÑ °¡À̵å¶óÀÎÀ» Á¦°øÇÏ°í ÀÖÀ¸´Ï F5¿¡ ¹®ÀǸ¦ ÇÏ´Â °Ô °¡Àå ºü¸£°í È®½ÇÇÒ °Ì´Ï´Ù.¡±
3ÁÙ ¿ä¾à
1. F5ÀÇ ºòIP¿Í ºòIQ¿¡ ¿µÇâÀ» ÁÖ´Â Ä¡¸íÀû Ãë¾àÁ¡ 4°³ ¹ß°ßµÊ.
2. ³×Æ®¿öÅ©¿¡ ħÅõÇØ ¿ø°Ý¿¡¼ Äڵ带 ½ÇÇàÇÏ°í Àåºñ¸¦ Àå¾ÇÇÒ ¼ö ÀÖ°Ô ÇØ ÁÖ´Â Ãë¾àÁ¡µé.
3. µ¥ÀÌÅ͸¦ À§ÇùÇÏ´Â Ãë¾àÁ¡À̶ó ½Ã±ÞÇÑ ´ëó ÇÊ¿ä. CISA±îÁö ÆÐÄ¡Ç϶ó°í ±Ç°í.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>