방치될 경우 원격 명령 실행과 데이터 접근 권한을 비인가자가 획득할 수 있는 심각한 보안 위협
HPE에서 아루바(Aruba) 네트워킹 액세스 포인트 제품의 다중 취약점을 해결하기 위한 보안 패치를 발표했다.
이번 패치로 업데이트된 취약점들은, 방치될 경우 원격 명령 실행과 데이터 접근 권한을 비인가자가 획득할 수 있는 심각한 보안 위협을 포함하고 있다. 특히, HPE의 아루바 액세스 포인트 제품 중 Instant AOS-8과 AOS-10 펌웨어 버전에 대한 취약점이 발견됐으며, 그 중 두 가지는 비인가 원격 명령 실행 공격을 가능하게 하는 치명적인 취약점으로 평가됐다.
HPE의 권고문에 따르면 이번 패치는 다음과 같은 펌웨어 버전의 아루바 액세스 포인트에서 발생하는 총 여섯 가지 취약점을 대상으로 한다:
-AOS-10.4.x.x 버전: 10.4.1.4 및 그 이하 버전
-Instant AOS-8.12.x.x 버전: 8.12.0.2 및 그 이하 버전
-Instant AOS-8.10.x.x 버전: 8.10.0.13 및 그 이하 버전
가장 심각한 취약점은 CVE-2024-42509와 CVE-2024-47460으로, 각각 CVSS 기준 9.8과 9.0의 위험도를 나타낸다. 이 두 가지 취약점은 Aruba CLI(명령어 인터페이스) 서비스에 관련된 것으로, 공격자가 사전 인증 없이 임의의 명령을 원격에서 실행할 수 있도록 한다.
HPE에 따르면 이들 취약점은 PAPI(Aruba 액세스 포인트 관리 프로토콜)에서 UDP 포트 8211을 악용하는 방식으로 접근이 이루어진다. 이를 통해 공격자가 기기의 운영 체제 상에서 권한이 있는 사용자로 명령을 실행할 수 있게 되는 것이다.
특히 “명령어 주입 취약점은 비인가 원격 코드 실행을 허용할 수 있으며, 공격자가 장치를 완전히 제어할 수 있는 위험이 있다”고 HPE는 경고했다.
이번 패치 발표에서는 치명적인 두 가지 취약점 외에도 보통에서 높은 위험도의 네 가지 보안 결함이 포함되었다:
-CVE-2024-47461 (CVSS 7.2): 인증된 사용자가 임의의 원격 명령 실행을 수행할 수 있는 취약점.
-CVE-2024-47462 및 CVE-2024-47463 (CVSS 7.2): 인증된 원격 명령 실행을 가능하게 하는 임의 파일 생성 취약점.
-CVE-2024-47464 (CVSS 6.8): 경로 탐색 취약점으로, 비인가 파일 접근을 허용할 가능성이 있음.
HPE는 이들 취약점이 일부 인증을 필요로 하지만, 초기에 접근에 성공할 경우 권한을 확장하여 심각한 피해를 일으킬 수 있는 위험이 여전하다고 언급했다.
HPE는 CVE-2024-42509와 CVE-2024-47460에 대한 대응으로 Instant AOS-8 코드를 사용하는 장치의 경우 cluster-security 명령어를 사용해 클러스터 보안을 활성화할 것을 권장했다. AOS-10을 실행하는 기기의 경우 모든 신뢰할 수 없는 네트워크로부터 UDP 포트 8211 접근을 차단하는 것을 추천했다.
또한, HPE는 아루바 액세스 포인트 관리자가 다음과 같은 추가 조치를 통해 위험을 줄일 것을 권고했다:
관리 인터페이스 접근 제한: CLI와 웹 기반 관리 인터페이스를 전용 VLAN에 배치하고, 레이어 3에서 방화벽 정책을 사용해 접근을 제어하면 외부 위협이 관리 인터페이스에 도달하는 것을 방지할 수 있다.
정기적인 펌웨어 업데이트 및 패치 적용: 장치를 최신 상태로 유지하는 것이 중요하며, 특히 이번처럼 높은 위험도가 있는 취약점이 발견된 경우 신속한 패치 적용이 필요하다.
물리적 및 네트워크 접근 제한: 가능한 경우 네트워크 분할과 물리적 보안 통제를 통해 위험을 최소화할 수 있다.
사이버 보안 업체 악틱 울프(Arctic Wolf)는 현재까지 이러한 취약점이 실제로 악용된 사례는 보고되지 않았으나, Aruba 액세스 포인트가 잠재적 표적이 될 수 있다고 경고했다. Arctic Wolf는 패치가 적용되지 않은 시스템을 공격하기 위해, 위협 행위자가 패치를 역설계하여 악용할 가능성도 있다고 강조했다.
사이버 보안 전문가들은 HPE의 신속한 대응이 긍정적이지만, 조직들은 여전히 주의를 기울여야 한다고 지적했다. 한 전문가는 “아루바 장치는 다양한 산업에서 널리 사용되고 있어 공격자에게 측면 이동의 기회를 제공할 수 있다”고 말하며 여러 방어 조치를 권장했다:
-즉각적인 패치 적용: 패치는 주요 방어 수단으로, 패치되지 않은 시스템은 공격자에게 알려진 진입점을 제공할 수 있다.
-네트워크 분할: 전문가들은 네트워크를 분할해 악용된 장치가 내부 시스템에 쉽게 접근하지 못하도록 하는 것이 필요하다고 조언했다.
-선제적 모니터링: 모든 주요 시스템을 모니터링하고, 실시간 가시성을 제공하는 EDR(엔드포인트 탐지 및 대응) 솔루션을 사용하는 것이 권장된다.
마지막으로 전문가들은 단순히 패치만으로는 충분하지 않으며, 조직의 전체 보안 상태가 견고해야 한다고 강조했다. 정기적인 점검, 네트워크 접근 제한, 모니터링을 포함한 종합적인 접근이 필요하다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
![[단독] 알리·테무 위해제품 차단시스템 '구멍'…171건 유통되다 재차단](https://img.newspim.com/news/2024/11/13/2411131622262640.jpg)
