[뉴스에프엔 김맹근 기자] 미국 사이버보안 및 인프라 보안국(CISA)이 SonicWall의 보안 원격 액세스 장비인 SMA 100 시리즈 게이트웨이의 심각한 보안 취약점이 실제 공격에 악용되고 있다고 경고했다. CISA는 해당 취약점을 ‘알려진 악용 취약점’(KEV) 목록에 긴급 추가하고, 연방 기관들에 5월 7일까지 보안 조치를 완료하라는 지시를 내렸다.

문제가 된 취약점은 CVE-2021-20035로, 운영 체제 명령 주입(OS Command Injection)을 통해 인증된 원격 공격자가 관리 인터페이스에 악성 명령을 삽입할 수 있는 결함이다. CVSS 위험도 점수는 7.2로 평가된다.

SonicWall은 2021년 해당 결함을 공지하면서 “공격자가 ‘nobody’ 사용자 권한으로 명령을 주입할 수 있으며, 이는 궁극적으로 원격 코드 실행(RCE)로 이어질 수 있다”고 밝혔다. 이후 게시판을 수정해 이 취약점이 야생에서 실제로 악용되고 있음을 공식 인정했다.

CISA에 따르면, 해당 취약점은 다음 SMA 장치와 펌웨어 버전에 영향을 준다:

SMA 200, 210, 400, 410, 500v (ESX, KVM, AWS, Azure)

영향을 받는 버전:

10.2.1.0-17sv 이하 (→ 10.2.1.1-19sv 이상에서 수정됨)

10.2.0.7-34sv 이하 (→ 10.2.0.8-37sv 이상에서 수정됨)

9.0.0.10-28sv 이하 (→ 9.0.0.11-31sv 이상에서 수정됨)

특히 연방 민간 행정부(FCEB) 소속 기관들은 2025년 5월 7일까지 패치 또는 완화 조치를 마쳐야 하며, 이를 준수하지 않을 경우 보안 지침 위반으로 간주될 수 있다.

전문가들은 “해당 취약점은 내부 네트워크 침투와 시스템 탈취로 이어질 수 있는 심각한 위협”이라며, ▲최신 펌웨어 업데이트 ▲관리자 접근 차단 ▲MFA 적용 ▲이상 행위 모니터링 등의 조치를 조속히 시행할 것을 권고했다.

0 0