요약 : 보안 외신 해커뉴스에 의하면 아파치 오비즈(Apache OfBiz)라는 ERP 시스템에서 초고위험도 제로데이 취약점이 발견됐다고 한다. CVE-2023-51467로, 로그인 기능에서 발견된 것이라고 한다. CVE-2023-49070이라는 초고위험도 취약점에 대한 불완전한 패치로 인해 생겨난 취약점이다. 공격자들은 이 취약점을 통해 인증 로그인 절차를 우회할 수 있게 된다고 한다. 그런 후 SSRF 공격을 이어가는 게 가능하다고 보안 업체 소닉월(SonicWall)은 분석했다. 아파치 오비즈 18.12.11 버전으로 업그레이드 하는 게 안전하다.


배경 : 아파치 오비즈는 오픈소스 ERP 시스템으로 여러 기업들이 자원 관리를 위해 사용하고 있다. 많은 개발자들이 소프트웨어를 개발할 때 오픈소스를 활용하고 있으며, 이 때문에 오픈소스에서 발견된 취약점은 여파가 큰 편이다. 패치가 쉬운 것도 아니다. 오픈소스는 여러 프로그램 내에 녹아들기 때문에 오픈소스를 사용하고 있어도 사용하고 있다는 것을 인지하지 못하는 경우들이 상당하다. 오픈소스 취약점 관리는 보안의 새로운 과제로 떠오르는 중이다.

말말말 : “공격자들은 취약점 익스플로잇을 통해 인증 단계를 쉽게 우회할 수 있게 됩니다. 인증을 우회한 공격자들은 여러 가지 악성 행위를 피해자의 망 안에서 실시할 수 있게 됩니다.” -소닉월-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>