요약 : 보안 블로그 시큐리티어페어즈에 의하면 2만 개가 넘는 VM웨어 ESXi 인스턴스들이 취약한 상태로 인터넷에 공개되어 있다고 한다. 셰도우서버(Shadowserver)라는 보안 연구 조직에서 조사한 내용인데, 특히 CVE-2024-37085라는 취약점이 패치되지 않은 채 인스턴스가 노출되어 있다고 한다. 이는 일종의 인증 우회 취약점으로, CVSS 기준으로는 6.8점밖에 되지 않아 패치 우선순위가 높지 않은 것으로 추정된다. 하지만 MS는 “실제 익스플로잇이 되고 있는 취약점”이라고 경고한 바 있다. 특히 랜섬웨어 공격자들 사이에서 이 취약점에 대한 관심이 높다고 MS는 경고했었다.


배경 : CVE-2024-37085는 MS가 처음 발견해 VM웨어 측에 알린 취약점이다. VM웨어 측도 빠르게 대응해 패치를 세상에 내놨으나 아직 사용자 단에서 패치 적용이 제대로 이뤄지지 않고 있는 모양새다. MS는 스톰0506(Storm-0506), 스톰1175(Storm-1175), 옥토템페스트(Octo Tempest)라는 그룹이 특히 이 취약점을 활발히 노리고 있다고 경고하고 있다.

말말말 : “CVSS 점수를 가지고 취약점 패치 순서를 정하는 건 바람직하지 않습니다. 실제로 익스플로잇 되는 것들을 위주로 패치를 하는 게 더 안전합니다.” -시큐리티어페어즈-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>