요약 : 보안 외신 시큐리티위크는 최근 이반티(Ivanti)의 VPN 제품에서 발견된 제로데이 취약점에 대한 패치가 아직 개발되지 않고 있다고 보도했다. 이반티는 1월 22일부터 패치를 배포하기 시작할 거라고 약속했는데, 현재까지도 감감무소식이라는 것이다. 이반티 내부적으로 패치 개발에 난항을 겪고 있는 것으로 보인다. 사실 이반티는 지난 주 금요일에 이미 약속된 기한을 넘겼음을 시인하면서 “패치의 품질이 그리 좋지 않다”고 밝힌 바 있다. 그러면서 아직 명확한 개발 완료 시점을 예측하기 어렵다고 알렸다. 이반티 사용자들이라면 애가 탈 수밖에 없는 소식이다.


배경 : 약 3주 전 보안 업체 볼렉시티(Volexity)는 중국 정부의 지원을 받는 APT 단체가 두 가지 제로데이 취약점을 익스플로잇 해서 미국 기업들에 침투하고 있다는 경고를 발표했었다. 두 가지 취약점 모두 이반티 VPN 제품들에서 나왔다. 이 때문에 패치가 나올 때까지 이반티 VPN을 비활성화 하는 게 좋다는 권고가 나오기도 했었다.

말말말 : “이 두 가지 취약점을 연쇄적으로 익스플로잇 할 경우 취약한 제품에서 임의의 명령을 실행할 수 있게 됩니다. 이반티는 공식 패치 전에 위험 완화 수단이 될 수 있는 XML 파일을 배포하고 있으니 각 조직들은 이를 검토하는 게 좋습니다.” -CISA-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>