2024년 6월 패치 화요일(Patch Tuesday)에 대한 Akamai의 관점
6월은 모두가 프라이드 먼스를 기념하기에 바빠서인지 취약점 수가 적습니다. 인권 보호를 위해 힘쓰듯 모두가 힘을 합쳐 중대한 보안 취약점에 맞서봅시다.
Akamai Security Intelligence Group은 이번 달에도 패치가 완료된 흥미로운 취약점을 조사했습니다.
2024년 6월 패치 화요일에 패치된 취약점은 49개이며, 여기에는 MSMQ(Microsoft Message Queuing) 의 중대한 취약점 1개와 높은 CVSS 점수(9.8)의 Azure DSVM(Data Science Virtual Machine)취약점도 포함되어 있습니다.
이 블로그 게시물에서는 취약점의 심각성과 애플리케이션 및 서비스가 얼마나 빈번하게 영향을 받는지 평가하고, 수정된 버그에 대한 현실적인 관점을 제공합니다. 패치 화요일(Patch Tuesday)이 발표될 때마다 며칠 내로 보고서를 발표합니다.
지속적으로 발간되는 이 보고서는 리서치가 진행됨에 따라 업데이트됩니다. 계속 관심 가져주시기 바랍니다.
이번 달에는 버그가 패치된 다음 영역을 집중적으로 소개합니다.
MSMQ(Microsoft Message Queuing)
MSMQ 서비스는 Windows의 선택 기능으로, 여러 애플리케이션 간에 메시지를 전달하는 데 사용됩니다. 이 서비스는 선택 사항임에도 불구하고, Microsoft Exchange Server 같은 다양한 Windows용 엔터프라이즈 애플리케이션의 백그라운드에서 사용되고 있습니다. 관측 결과에 따르면, 이 서비스는 작업 환경의 약 74%에 설치되어 있으며 보통 두 대 이상의 머신에 설치된 것으로 나타났습니다.
이번 달에는 공격자가 특별히 조작된 패킷을 피해 MSMQ 서버로 전송하여 원격으로 코드를 실행할 수 있는 중대한 네트워크 RCE(원격 코드 실행) 취약점인 CVE-2024-300801개가 발견되었습니다.
MSMQ 서비스는 포트 1801을 통해 접속할 수 있지만, 많은 클라이언트가 접속하지 않아야 하므로 (주로 엔터프라이즈 애플리케이션 자체에서 사용되기 때문에), 해당 포트 및 서비스에 대한 임의의 네트워크 접속을 제한하는 것을 권장합니다.. 이 취약점에 대해 Microsoft가 권장하는 방어 방법이기도 합니다.
허용 목록 정책을 사용해 서비스를 세그멘테이션하고 실제로 필요한 머신에만 접속할 수 있도록 하시기 바랍니다. 세그멘테이션과 관련하여 도움이 필요한 경우 실용적인 관점에서 바라본 (마이크로)세그멘테이션 (특히 애플리케이션 링펜싱 과 마이크로세그멘테이션 섹션 ) 블로그 게시물을 참조하시기 바랍니다.
Azure DSVM(Data Science Virtual Machine)
Azure DSVM(Data Science Virtual Machine)은 데이터 과학에 필요한 다양한 툴과 프로그램이 사전 설치되어 제공되는 Azure 클라우드 플랫폼에서 사용할 수 있는 사용자 지정 가상머신(VM) 이미지의 한 종류입니다. CVE-2024-37325 는 24.05.24 이전 버전의 Ubuntu DSVM에 영향을 미치는 EoP(권한 상승) 취약점입니다.
공격자가 악용 후 상승된 세션을 획득하는 일반적인 EoP와는 달리, 이 경우에는 해당 가상머신(VM)에 설치된 서비스 중 하나에서 데이터 유출이 발생하는 것으로 보입니다. 권한이 없는 공격자가 특정 요청을 보내면 권한이 있는 사용자의 인증정보를 유출할 수 있으며, 이를 사용해 해당 머신에 로그인할 수 있습니다.
Microsoft는 영향을 받는 머신을 업그레이드하는 방법에 대한 가이드 를 제공했습니다. 또한, 설치된 서비스 중 하나에 문제가 있는 것으로 보이므로 머신이 수신 대기 중인 모든 포트를 확인하고 해당 포트를 링펜싱하여 외부 접속을 방지할 것을 권장합니다.
Windows 링크 레이어 토폴로지 검색 프로토콜 및 Windows Wi-Fi 드라이버
Windows 링크 레이어 토폴로지 검색 프로토콜은 네트워크 토폴로지를 이해하기 위해 디바이스를 매핑하는 데 사용되는 Microsoft 독점 프로토콜입니다. 이 프로토콜은 여러 종류의 네트워크 즉, 유선, 무선뿐 아니라 전력선도 지원하지만, 이번 달에 패치된 두 가지 취약점은 모두 Wi-Fi 네트워크 어댑터와 관련이 있으므로 Wi-Fi 드라이버 취약점과 통합해 논의했습니다.
이 취약점들은 모두 Wi-Fi와 관련된 것이기에 공격자가 이를 악용하려면 (무선으로) 근접해야 하므로 '낯선 사람은 위험하다.'라는 것만 잊지 않는다면 괜찮습니다.
Wi-Fi 프로토콜 구축은 네트워크 자체의 설정이 아닌 네트워크를 통해 전송되는 데이터를 다루므로 대부분의 방화벽 또는 세그멘테이션 제품의 범위를 벗어납니다. 따라서 패치 적용 외에는 이 취약점을 방어할 방법이 없으므로(Faraday 케이지도 가능하지만, 이 경우 정상적인 Wi-Fi를 사용할 수 없습니다) 가능한 한 빨리 패치를 적용할 것을 권장합니다.
서비스 |
CVE 번호 |
영향 |
|---|---|---|
Windows 링크 레이어 토폴로지 검색 프로토콜 |
원격 코드 실행 |
|
Windows Wi-Fi 드라이버 |
이전에 다루었던 서비스
이번 달 패치 화요일(Patch Tuesday)의 많은 CVE는 과거에 이미 다루었던 시스템에 대한 것입니다. 이런 서비스에 대한 분석 또는 일반적인 권장 사항에 관심이 있는 경우, 이전 패치 화요일(Patch Tuesday) 블로그 게시물의 내용을 살펴보시기 바랍니다.
서비스 |
CVE 번호 |
영향 |
필요한 접속 권한 |
|---|---|---|---|
정보 유출 |
로컬 |
||
원격 코드 실행 |
로컬, 공격자는 피해자가 악성 파일을 열도록 유도해야 함 |
||
서비스 거부 |
네트워크 |
||
원격 코드 실행 |
네트워크 |
||
서비스 거부 |
로컬 |
||
정보 유출 |
로컬 |
본 요약에서는 가용한 정보를 바탕으로 현재 이해와 권장 사항을 대략 알아봤습니다. Akamai의 검토는 지속적으로 수행되므로 이곳의 모든 정보는 변경될 수 있습니다. 또한 X(기존의 Twitter)를 방문하여실시간 업데이트를 확인할 수 있습니다.