긴급 보안 경고: SonicWall SMA 취약점, CISA KEV 등재 및 긴급 패치 권고

최근 미국 사이버보안 및 인프라 보안국(CISA)이 SonicWall Secure Mobile Access(SMA) 장비의 오래된 취약점을 Known Exploited Vulnerabilities(KEV) 목록에 추가하면서 보안 업계에 긴급한 경고가 울리고 있습니다. 이는 해당 취약점이 실제로 악용되고 있다는 것을 의미하며, 연방 민간 행정부(FCEB) 기관은 3주 이내에 패치를 적용하거나 해당 제품 사용을 중단해야 합니다.

SonicWall SMA 취약점 상세 내용

SonicWall은 2021년 말, SMA 장비에 영향을 미치는 부적절한 무력화 취약점에 대한 보안 권고를 발표했습니다. 당시 SonicWall은 이 버그가 서비스 거부(DoS) 공격을 통해 취약한 엔드포인트를 다운시킬 수 있다고 밝혔습니다. 하지만 최근 SonicWall은 해당 권고를 업데이트하여 실제 공격 사례를 경고하고, 심각도 점수를 중간(Medium)에서 높음(High, 7.2)으로 상향 조정했습니다.

취약점 악용 사례

SonicWall은 "SMA100 관리 인터페이스에서 특수 요소의 부적절한 무력화로 인해 원격 인증된 공격자가 ‘nobody’ 사용자로 임의의 명령을 삽입하여 코드 실행으로 이어질 수 있다"고 밝혔습니다. 이 취약점은 SMA 200, SMA 210, SMA 400, SMA 410 및 SMA 500v(ESX, KVM, AWS, Azure) 장비에 영향을 미칩니다.

CISA의 경고 및 권고

CISA는 해당 버그를 KEV에 추가하면서 실제 악용 사례에 대한 경고를 발령했습니다. CISA의 Binding Operational Directive 22-01은 정부 기관에만 패치 설치를 강제하지만, 민간 부문의 조직도 KEV에 새로운 항목이 추가될 때 주의를 기울여야 합니다. CISA는 "이러한 유형의 취약점은 악의적인 사이버 공격자의 빈번한 공격 벡터이며 연방 기업에 심각한 위험을 초래한다"고 강조했습니다.

과거 SonicWall 공격 사례

2021년에는 UNC2447로 추적되는 공격자가 SMA100 인스턴스의 SQL injection 취약점을 악용하여 네트워크에 무단으로 액세스하는 대규모 공격이 발생했습니다. 공격자는 Sombrat 백도어와 FiveHands 랜섬웨어를 배포했습니다.

보안 담당자의 대응 방안

• 즉시 패치 적용: 영향을 받는 SonicWall SMA 장비를 사용하는 모든 조직은 SonicWall에서 제공하는 최신 패치를 가능한 한 빨리 적용해야 합니다.
• 지속적인 모니터링: 시스템 로그를 지속적으로 모니터링하여 잠재적인 악용 시도를 탐지하고, 이상 징후가 발견될 경우 즉시 대응해야 합니다.
• 보안 강화: 방화벽 설정 강화, 다단계 인증(MFA) 활성화, 최소 권한 원칙 적용 등 추가적인 보안 조치를 통해 공격 표면을 줄여야 합니다.
• 최신 정보 습득: CISA, SonicWall 등 보안 기관에서 제공하는 최신 보안 권고 및 정보를 지속적으로 확인하여 잠재적인 위협에 대비해야 합니다.

결론

SonicWall SMA 장비의 취약점은 사이버 공격의 주요 대상이 될 수 있으므로, 해당 장비를 사용하는 조직은 즉시 패치를 적용하고 보안 조치를 강화하여 잠재적인 위험을 최소화해야 합니다. CISA의 KEV 목록에 등재된 취약점은 그만큼 심각하게 악용되고 있다는 것을 의미하므로, 보안 담당자들은 경각심을 갖고 적극적으로 대응해야 합니다.