시스코와 기가바이트의 일부 제품에서 발견된 취약점들, 공격에 활용돼

요약 : 미국의 사이버 보안 전담 기관인 CISA가 ‘알려진 취약점 목록(KEV)’에 새로운 취약점들을 추가했다고 보안 외신 시큐리티위크가 전했다. 시스코 제품에서 발견된 취약점 2개(CVE-2020-3433, CVE-2020-3153)와 기가바이트 제품에서 발견된 취약점 4개(CVE-2018-19323, CVE-2018-19322, CVE-2018-19321, CVE-2018-19320)다. 시스코의 취약점은 임의 코드 실행 공격을, 기가바이트의 취약점은 권한 상승 공격을 가능하게 한다고 CISA는 경고했다.


배경 : KEV는 CISA가 운영하고 관리하는 취약점 목록이다. CVE 번호가 붙은 취약점들 중 공격자들이 실제 해킹 공격을 실시할 때 사용하는 것들을 모아둔 것이다. 따라서 긴급히 패치해야 할 취약점들이라고 볼 수 있다. 취약점 관리에 있어 중요하게 고려해야 할 정보로 최근 인식되고 있다.

말말말 : “기가바이트의 취약점들은 오래된 만큼 익스플로잇 가능성을 증명하는 자료들이 인터넷에 충분히 존재합니다. 이를 통해 실제 익스플로잇 공격을 감행하는 게 가능합니다. 취약점들의 패치가 전부 존재하니, 이를 사용자가 적용하는 단계가 남아 있습니다.” -CISA-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>