요약 : 보안 블로그 시큐리티어페어즈에 의하면 미국의 사이버 보안 전담 기관인 CISA가 인터넷 익스플로러(IE)와 트윌리오(Twilio)에서 발견된 취약점을 긴급 패치가 필요한 취약점 목록(KEV)에 포함시켰다고 한다. 인터넷 익스플로러에서 발견된 건 CVE-2012-4792로 대단히 오래된 UaF 취약점이고, 트윌리오에서 발견된 건 CVE-2024-39891이라는 비교적 최신 취약점이었다. 연방 정부 기관들이라면 CISA의 명령에 따라 8월 13일까지 패치와 버전 업그레이드를 완료해야 한다. 민간 업체들에는 강제성을 발휘할 수가 없어 알아서 잘 하도록 꼬드겨야 한다


배경 : KEV는 취약점의 심각성과는 별개로 ‘실제 공격이 이뤄지고 있거나 그럴 가능성이 높은 취약점’에 점수를 매긴다. 즉 시급히 패치를 해야할 취약점들을 모아 둔 목록이라고 할 수 있다. 보안 전문가들은 취약점을 관리할 때 취약점의 위험성을 점수로 매긴 CVSS만 참고할 것이 아니라 KEV도 염두에 두어야 한다고 강조한다.

말말말 : “CVE-2012-4792 취약점은 이미 2012년에 익스플로잇 공격에 활용되기도 했었습니다. 임의 코드 실행 공격을 가능하게 합니다. 취약점들이 좋아하는 유형의 취약점이라고 할 수 있습니다.” -시큐리티어페어즈-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>