목차
CISA에서 KEV Catalog에 새로운 취약점 6개를 추가1했다. 이번 포스트에선 CISA, CEV, KEV Catalog 그리고 추가된 취약점 6건에 대해 정리한다.
CISA?
CISA는 미국 국토안보부(DHS, Department of Homeland Security)의 사이버보안 및 인프라 보호국(Cybersecurity and Infrastructure Security Agency2)이다. CISA의 주 목적은 사이버 공격으로부터 미국의 중요 인프라를 보호하는 일이다. 여기서 인프라는 전력, 수도, 통신, 교통 등 사회 주요 기반 시설과 서비스를 의미한다.
CISA의 주 보호 대상을 인프라로 정의했지만, 사이버 공격의 대상은 국가 기관이나 시설 뿐만 아니라 개인, 사기업, 의료기관, 공공시설 도 포함 될 수 있다. 이러한 시설이 사이버 공격으로 영향을 받는다면 국가 수준의 위험이 발생할 수 있으므로 한 나라(미국)에 대한 사이버 보안 이 주 목적이라 해도 되겠다.
CVE / KVE Catalog
사이버 보안 취약점이라 하면 일반적으로는 CVE넘버라는 이름으로 관리되는 취약점 목록이 떠오를 것이다. 그럼 CISA에서 별도의 카탈로그까지 만들어 관리하는 KEV는 CVE와 무슨 차이가 있는걸까.
CVE(Common Vulnerabilities and Exposures)와 KEV(Known Exploited Vulnerabilities) Catalog3 사이의 차이는 다루는 취약점의 범위와 무엇에 중점을 두고 있는가로 구분할 수 있다.
- CVE(Common Vulnerabilities and Exposures)
- 개념: CVE는 공개적으로 알려진 사이버 보안 취약점에 대한 데이터베이스다. CVE 레코드는 일반적으로 CVE번호라 부르는 식별 번호, 취약점에 대한 설명, 그리고 최소한 하나의 참조 자료 정보로 구성된다. CVE 목적은 취약점 정보의 공유 및 취약점 평가 표준을 제공하는데 있다.
- 범위: CVE는 문자 그대로 ‘모든‘ 공개 취약점을 다룬다. CVE에 등록된 취약점이 즉각적인 위협을 의미하진 않는다.
- KEV(Known Exploited Vulnerabilities) Catalog
- 개념: KEV Catalog는 실제로 사이버 공격에 사용되고 있음이 확인된 취약점들을 CISA가 선별한 목록이다. 실 공격에 이용되는 취약점들의 정보를 공유함으로써, 각 주체들이 우선 하여 대응 및 해결해야 하는 위협들에 대한 가이드 역할을 하기 위함이다.
- 범위: CVE는 포괄적인 목록인 반면, KEV Catalog는 현재 사이버 공격에 이용되는 보안 취약점들에 초점을 둔다.
간단히 말해서, CVE는 우리가 보통 ‘취약점’이란 개념으로 알고있는 ‘알려진 취약점들 목록‘이고, KEV Catalog는 현재 진행 중인 사이버 공격에 악용되고 있는 ‘우선 대응해야 할 취약점들 목록‘이다. 개인과 기관, 또는 조직이 현재 가장 위험한 보안 취약점이 무엇인지 인지하고, 그에 대한 조치를 취할 수 있도록 안내하기 위한 것이다.
KEV Catalog에 추가된 취약점
이번에 CISA에서 KEV 카탈로그에 추가한 6가지 취약점은 다음과 같다.
- CVE-2023-275244: Apache Superset, 원격 코드 실행(RCE) 취약점.
- CVE-2023-382035: Adobe ColdFusion, 데이터 역직렬화(Deserialization) 취약점.
- CVE-2023-293006: Adobe ColdFusion, CVE-2023-38203과 유사한 역직렬화(Deserialization) 취약점.
- CVE-2023-419907: 다수 Apple 제품, 코드 실행(CE) 취약점. ‘
Operation Triangulation‘8공격에 사용. - CVE-2016-200179: D-Link DSL-2750B 장비, 명령 주입(Command Injection) 취약점.
- CVE-2023-2375210: Joomla!, 부적절한 접근 제어(Improper Access Control) 취약점.
원격 코드 실행(RCE) 등 위험도가 높은 취약점이 존재하므로, 빠른 확인과 대응이 필요하다.
TL;DR
CISA에서 현재 사이버 공격에 사용되고 있는 보안 취약점 6건을 KEV Catalog에 추가했다. 이번에 추가된 이 6개의 취약점들은 실제 공격에 사용되고 있음이 확인되었거나, 공격에 악용될 가능성이 높은 것들이다. 특히 일부 취약점들은 원격 코드 실행(RCE)과 같이 심각한 위협을 초래할 수 있는 높은 위험도를 가지고 있으며, 다수의 사용자가 있는 시스템과 소프트웨어에 영향을 미칠 수 있으므로 취약한 소프트웨어나 장비를 사용하는 곳에서는 해당 취약점에 대한 빠른 보안 조치가 필요하다.
참고자료
- CISA Flags 6 Vulnerabilities – Apple, Apache, Adobe , D-Link, Joomla Under Attack (thehackernews.com)
https://thehackernews.com/2024/01/cisa-flags-6-vulnerabilities-apple.html ↩︎ - Cybersecurity and Infrastructure Security Agency (cisa.gov)
https://www.cisa.gov/ ↩︎ - Known Exploited Vulnerabilities Catalog (cisa.gov)
https://www.cisa.gov/known-exploited-vulnerabilities-catalog ↩︎ - CVE-2023-27524 – Apache Superset Insecure Default Initialization of Resource Vulnerability (nist.gov)
https://nvd.nist.gov/vuln/detail/CVE-2023-27524 ↩︎ - CVE-2023-38203 – Adobe ColdFusion Deserialization of Untrusted Data Vulnerability (nist.gov)
https://nvd.nist.gov/vuln/detail/CVE-2023-38203 ↩︎ - CVE-2023-29300 – Adobe ColdFusion Deserialization of Untrusted Data Vulnerability (nist.gov)
https://nvd.nist.gov/vuln/detail/CVE-2023-29300 ↩︎ - CVE-2023-41990 – Apple Multiple Products Code Execution Vulnerability (nist.gov)
https://nvd.nist.gov/vuln/detail/CVE-2023-41990 ↩︎ - Most Sophisticated iPhone Hack Ever Exploited Apple’s Hidden Hardware Feature (thehackernews.com)
https://thehackernews.com/2023/12/most-sophisticated-iphone-hack-ever.html ↩︎ - CVE-2016-20017 – D-Link DSL-2750B Devices Command Injection Vulnerability (nist.gov)
https://nvd.nist.gov/vuln/detail/CVE-2016-20017 ↩︎ - CVE-2023-23752 – Joomla! Improper Access Control Vulnerability (nist.gov)
https://nvd.nist.gov/vuln/detail/CVE-2023-23752 ↩︎