1년 전 발견된 권한 상승 취약점...한 번 패치가 나오긴 했으나 취약점 해결 못해

요약 : 보안 블로그 시큐리티어페어즈가 1년 전에 발견된 CVE-2021-22048 취약점을 언급하며 아직 VM웨어 측에서 해결하지 않았다고 지적했다. CVE-2021-22048은 고위험군 취약점으로, 작년 11월 브이센터 서버(vCenter Server)에서 발견됐다. 익스플로잇에 성공할 경우 공격자들은 권한을 상승시킬 수 있게 되며, 상승 후 여러 가지 악성 행위를 할 수 있게 된다. VM웨어는 지난 7월에 패치를 발표했으나, 패치에 오류가 있었고, 문제는 해결되지 않았었다.


배경 : 권한 상승 취약점은 보안 전문가들 사이에서 간과되는 경우가 많다. 권한 상승 취약점을 익스플로잇 하려면 공격자가 시스템 내에 미리 침투해 들어와 있어야 하기 때문이다. 최초 침투에는 별 다른 역할을 하지 못한다는 뜻이지만, 일단 들어온 공격자가 마음대로 움직일 수 있도록 해 주는 것이 이 권한 상승 취약점이라 반드시 패치를 통해 해결해야 한다.

말말말 : “지난 패치의 오류를 인지한 후 롤백을 실시했습니다. 최대한 빨리 올바른 패치를 마련하여 발표할 예정입니다.” -VM웨어-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>