요약 : 보안 블로그 시큐리티어페어즈에 의하면 미국의 사이버 보안 전담 기관인 CISA가 세 개의 취약점을 ‘긴급 패치 목록’에 추가했다고 한다. 이 취약점은 CVE-2022-24816, CVE-2022-2586, CVE-2020-13965로 차례대로 지오솔루션즈그룹, 리눅스 커널, 라운드큐브에서 발견된 것이라고 한다. 코드 주입, 메모리 내 정보 유출, XSS 공격을 가능하게 하는 것으로 분석됐다. 실제 이 취약점들을 노린 공격이 진행되고 있어 시급한 패치 적용이 요구된다고 CISA는 강조했다.


배경 : CISA는 KEV라는 취약점 목록을 별도로 운영하고 있다. KEV는 known exploited vulnerability의 준말로, 공개된 취약점 가운데 실제 익스플로잇 되고 있는 것들을 말한다. 그러므로 심각도나 위험성과 상관없이 하루 빨리 패치해야 하는 취약점들의 목록이라고 할 수 있다. 이를 통해 취약점 패치 관리를 하는 게 효과적이라고 조언하는 보안 전문가들도 상당수다.

말말말 : “지오솔루션즈그룹의 솔루션에서 발견된 CVE-2022-24816의 경우 CVSS 점수가 9.8점일 정도로 심각합니다. 따라서 긴급한 패치가 요구됩니다.” -CISA-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>