요약 : 보안 블로그 시큐리티어페어즈에 의하면 큐냅(QNAP)이 자사 장비에서 발견된 제로데이 취약점의 픽스를 개발해 배포하고 있다고 한다. 문제의 취약점은 CVE-2024-50387로, SQL 주입 공격을 가능하게 한다. 최근 아일랜드에서 진행된 폰투온(Pwn2Own) 해킹 대회에서 발견된 취약점이며, 이를 발견한 해킹 팀은 2만 달러의 상금을 획득했다. 패치가 완료된 버전은 4.15.002 및 상위 버전과 h4.15.002 및 상위 버전이다. 큐냅은 얼마 전에도 같은 대회에서 발견된 또 다른 제로데이 취약점인 CVE-2024-50388을 픽스하기도 했다.


배경 : 폰투온 해킹 대회는 일반적으로 많이 사용되는 IT 서비스와 제품들을 겨냥한 해킹 대회다. 그런 서비스와 제품을 시장에 내놓는 기업들이 손수 대회에 제품을 제공하기도 한다. 대회를 통해 취약점이 발견되면 이를 업체에 알리고, 업체는 이를 재빨리 패치하여 배포함으로써 사용자들을 보호할 수 있기 때문이다. 취약점을 발견한 해커는 그 대가로 상금을 받는다. 버그바운티를 대회 형식으로 진행하는 것이라 봐도 무방하다.

말말말 : “원래 기업들은 대회 후 90일 안에 패치를 발표하도록 되어 있습니다. 하지만 큐냅은 그것보다 훨씬 빠르게 패치를 내놓았습니다.” -시큐리티어페어즈-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>