미국의 사이버 보안 및 인프라 보안국(CISA)은
최근 알려진 취약점 카탈로그에 두 가지 중요한 보안 문제를 추가했습니다.
첫 번째는 Google Chrome 웹 브라우저의 WebRTC 구성 요소에서 발견된
힙 버퍼 오버플로 문제인 CVE-2023-7024로,
이 취약점은 실시간 통신 기능을 제공하는 오픈 소스 프로젝트인
Google Chromium WebRTC에 영향을 미칩니다.
이는 Google Chrome뿐만 아니라 다른 WebRTC를 사용하는 웹 브라우저에도 영향을 줄 수 있으며,
공격자가 시스템 충돌이나 코드 실행을 일으킬 수 있는 잠재력을 가지고 있습니다.
이 결함은 Google의 위협 분석 그룹에 의해 발견되었으며,
12월 20일에 Windows, Mac, Linux용 Chrome에서 긴급 업데이트를 통해 수정되었습니다.
두 번째 취약점은 Spreadsheet::ParseExcel이라는
오픈 소스 Perl 라이브러리에 영향을 미치는 CVE-2023-7101로,
이는 Excel 파일의 정보를 읽는 데 사용됩니다.
이 취약점은 파일의 검증되지 않은 입력을 문자열 형태의
“eval”로 전달함으로써 발생하는 원격 코드 실행 문제로,
특히 Excel 구문 분석 로직에서 숫자 형식 문자열 평가 시 발생합니다.
이 라이브러리는 Excel 파일의 데이터 가져오기/내보내기 작업,
분석 및 자동화 스크립트 실행을 위해 널리 사용됩니다.
이 취약점은 중국 해커들에 의해 Barracuda ESG(Email Security Gateway)에서 악용되었으며,
사이버 보안 회사 Mandiant의 조사에 따르면
해커들은 이 결함을 이용하여 'SeaSpy' 및 'Saltwater' 악성 코드를 배포했습니다.
CISA는 1월 23일까지 연방 기관에 이 두 가지 보안 문제를 완화하거나 취약한 제품의 사용을 중단하도록 지시했습니다.
CISA의 KEV 카탈로그는 더 나은 취약성 관리 및 우선순위 지정을 목표로 하는 전 세계 조직을 위한 귀중한 리소스이며,
레드펜소프트의 XSCAN에서 분석되는 소프트웨어서도 KEV 정보를 확인할 수 있습니다.
'즐거운 보안 이야기 > 공급망 보안 뉴스' 카테고리의 다른 글
| “공급망 공격, 운영 단계서 발생···SW 수요자 관점 보호 필수” (0) | 2024.03.04 |
|---|---|
| 공급망 보안 강화를 위한 심층 소프트웨어 분석 (0) | 2024.01.29 |
| 2024 사이버 보안의 최전선: 소프트웨어 공급망 공격의 급증 (1) | 2024.01.02 |
| 국가정보원(NCSC)과 영국 정보통신본부(GCHQ)의 사이버 보안 권고문을 발표 (1) | 2023.12.06 |
| 제로 트러스트가 클라우드 보안에 필수적인 이유 (0) | 2023.11.03 |
