공격자가 관리자 권한을 얻을 수 있도록 하는 여러 VMware(브이엠웨어) 제품의 중요한 인증 우회 취약점에 대한 PoC 코드가 공개됐다. 

이에 VMware는 Workspace ONE Access, vIDM(VMware Identity Manager) 또는 vRealize Automation에 영향을 미치는 취약점 CVE-2022-22972를 해결하기 위한 보안 업데이트를 출시했다. 회사는 또한 취약한 어플라이언스를 즉시 패치할 수 없는 관리자를 위한 임시 해결 방법을 공유하며 관리자를 제외한 모든 사용자를 비활성화할 것을 권고했다.

브리핑컴퓨터 보도에 따르면, Horizon3 보안 연구원들은 화요일, CVE-2022-22972 PoC가 이번주 후반에 공개될 것이라고 언급하면서 이 취약점에 대한 PoC 익스플로잇 및 기술 분석을 발표했다. 전문가들은 “해당 스크립트는 CVE-2022-22972를 사용하여 vRealize Automation 7.6에서 인증을 우회해 사용할 수 있다. Workspace ONE과 vIDM는 인증 엔드포인트가 다르지만 취약점 핵심은 동일하다.”고 설명했다.

쇼단에서는 이 버그를 타깃으로 하는 공격에 노출된 적은 수의 VMware 어플라이언스만 표시됐지만, 여기에는 표적이 될 위험이 높은 여러 의료, 교육 산업, 주 정부 조직이 포함되어 있다.

VMware는 지난 주에 “이 중요 취약점은 VMSA-2021-0014 지침에 따라 즉시 패치되거나 완화돼야 한다. 취약점의 심각성을 감안할 때 즉각적 조치가 필요하다.”고 경고했다.

CISA(Cybersecurity and Infrastructure Security Agency)는 FCEB(Federal Civilian Executive Branch)에 네트워크 내 VMware 제품을 즉시 업데이트 하거나 제거하도록 명령하는 새로운 비상 지침을 발표해 이 보안 취약점의 심각성을 더욱 강조했다.

4월, VMware는 Workspace ONE Access, vIDM(VMware Identity Manager)에서 원격 코드 실행 버그(CVE-2022-22954) 및 루트 권한 상승 취약점(CVE-2022-229600)을 추가 패치했다.

VMware 인증 우회 취약점 CVE-2022-22972는 아직까지 악용되지 않았으나, 공격자는 48시간 이내에 지난 4월 패치된 인증 우회 취약점을 악용해 취약 시스템을 백도어에 감염시키고 코인 채굴기를 유포하기 시작했다.

사이버 보안 기관은 “CISA는 위협 행위자가 동일한 영향을 받는 VMware 제품에서 새로 탐지된 결함을 악용하기 위한 기능을 신속히 개발할 것으로 예상한다”고 말했다.

★정보보안 대표 미디어 데일리시큐!★