요약: 새로운 OpenSSH 취약점이 발견되었지만 Claroty 제품에 미치는 영향은 제한적입니다. 사용자 환경의 보안을 유지하기 위해 즉각적인 조치를 취하고 있습니다. 업데이트 및 완화 조치가 진행 중이며, 모든 제품은 영향을 받지 않거나 명확한 해결 계획이 있습니다.
이 글을 통해 regreSSHion 취약점으로 알려진 OpenSSH의 심각한 취약점에 대해 알려드리고자 합니다. 이 취약점은 영향을 받는 시스템에서 인증되지 않은 원격 코드 실행을 허용하며 심각한 위험을 초래할 수 있습니다. 저희는 제품과 사용자 환경의 보안을 보장하기 위해 최선을 다하고 있습니다.
Qualys 위협 연구 부서에서 glibc 기반 Linux 시스템의 OpenSSH 서버(sshd)에서 원격 인증되지 않은 코드 실행(RCE) 취약점을 발견했습니다. 이 취약점에 할당된 CVE는 CVE-2024-6387입니다. 이 취약점은 OpenSSH 서버(sshd)의 신호 처리기 경쟁 조건으로, glibc 기반 Linux 시스템에서 루트로 인증되지 않은 원격 미인증 코드 실행을 허용하여 심각한 보안 위험을 초래할 수 있습니다.
4.4p1 이전의 OpenSSH 버전은 CVE-2006-5051 및 CVE-2008-4109에 대한 패치가 적용되지 않은 경우 이 신호 처리기 경쟁 조건에 취약합니다.
4.4p1부터 8.5p1까지의 버전은 이전에 안전하지 않았던 기능을 안전하게 만든 CVE-2006-5051의 혁신적 패치로 인해 취약하지 않습니다.
이 취약점은 기능에서 중요한 구성 요소가 실수로 제거되어 8.5p1부터 9.8p1까지 버전에서 다시 등장합니다.
OpenBSD는 2001년에 이 취약점을 방지하는 보안 메커니즘을 개발했기 때문에 OpenBSD 시스템은 이 버그의 영향을 받지 않습니다.
자세한 분석 내용은 Qualys 블로그 게시물에서 확인할 수 있습니다: 레지스트리 취약점 세부 정보.
보안 통신을 위한 OpenSSH의 광범위한 사용을 고려할 때, 이 취약점은 특히 원격 액세스 도구를 사용하는 조직에서 매우 중요한 우려 사항입니다. 그러나 이 취약점은 원격 경쟁 조건의 특성으로 인해 악용하기가 어렵고 공격에 성공하려면 여러 번의 시도가 필요하다는 점에 유의해야 합니다.
위험 수준: 매우 낮음
자세히 보기: 모든 서버의 비공개 네트워크 외부에서 SSH가 차단됩니다.
완화 조치: 이 취약점을 해결하기 위해 모든 서버의 SSH 버전 업데이트를 시작했으며, 7월 7일(일)까지 완료될 예정입니다.
버전 4.9.1 이하(ClarotyOS에서): 영향을 받지 않습니다.
버전 4.9.1 이하(CentOS/RHEL): 영향을 받지 않습니다. 그러나 운영 체제는 Claroty 에서 유지 관리하지 않으며 다른 소프트웨어 패키지가 이 취약한 서비스를 설치했을 수 있으므로 사용자는 조치가 필요한지 확인해야 합니다.
버전 5.0 이상(5.0, 5.0.10): 이 CVE의 영향을 받습니다.
완화 조치:
5.0.0 버전을 사용 중인 고객은 7월 5일(금)에 보안 업데이트가 포함된 새 버전(5.0.1)으로 업그레이드할 수 있습니다.
5.0.10 버전을 사용 중인 고객은 7월 11일(목)에 보안 업데이트가 포함된 새 버전(5.0.11)으로 업그레이드할 수 있습니다.
버전 4.9.1을 사용 중인 고객의 경우 새로운 ClarotyOS로 마이그레이션하려면 버전 5.0.11이 출시될 때까지 기다리는 것이 좋습니다.
자체 관리형 CentOS 또는 RedHat Enterprise Linux(RHEL) 설치를 사용하는 고객의 경우 OpenSSH(sshd) 서비스가 설치되어 있는지 확인하고 그에 따라 해당 패키지를 업데이트해야 합니다. 시스템에 regreSSHion 취약점이 포함되어 있는지 확인하는 방법은 아래 섹션을 참조하세요. 고객이 이를 확인하는 데 도움이 필요한 경우 CSM 또는 Claroty 지원팀에 문의하세요.
버전 3.7 이하: 영향을 받지 않습니다. 그러나 운영 체제는 Claroty 에서 유지 관리하지 않으며 다른 소프트웨어 패키지가 이 취약한 서비스를 설치했을 수 있으므로 사용자는 조치가 필요한지 확인해야 합니다.
버전 4.0: 이 CVE의 영향을 받습니다.
완화 조치:
온프레미스 배포의 경우, Claroty 에서 7월 18일(목)까지 보안 업데이트가 포함된 업그레이드 버전(버전 4.0.1)을 출시할 예정입니다.
AWS 배포의 경우 재배포가 필요할 수 있습니다.
Claroty 현재 조사 중이며 7월 5일(금)까지 추가 지침을 제공할 예정입니다.
고객이 자체 관리형 CentOS 또는 RedHat Enterprise Linux(RHEL) 설치를 사용하는 경우에는 OpenSSH(sshd) 서비스가 설치되어 있는지 확인하고 그에 따라 이러한 패키지를 업데이트해야 합니다. 시스템에 regreSSHion 취약점이 포함되어 있는지 확인하는 방법은 아래 섹션을 참조하세요. 고객이 이를 확인하는 데 도움이 필요한 경우 CSM 또는 Claroty 지원팀에 문의하세요.
명령줄에서 다음 명령을 실행합니다:
# OpenSSH 버전 확인sshd -V출력은 다음과 비슷해야 합니다:
OpenSSH_7.4p1, OpenSSL 1.0.2k-fips 2017년 1월 26일openSSH 버전이 4.4p1(4.4p1은 안전) 또는 8.5p1 이상(8.5p1은 안전하지 않음)보다 낮으면 취약하므로 업데이트해야 합니다.
Versions within the range of 4.4p1 <= OpenSSH < 8.5p1 do not contain this vulnerability.
전체 고객층을 대상으로 실시한 분석 결과, 취약한 디바이스는 거의 발견되지 않았습니다. 이 취약점의 영향을 조사하기 위해 CVE-2024-6387이 제품에 추가될 예정입니다:
xDome 및 xDome for Healthcare(구 Medigate) 고객의 경우: xDome의 위협 인텔리전스 피드가 오늘 업데이트되었으며 대시보드에 표시될 것입니다. 레그시온 취약점은 내일 xDome의 취약점 탐지 모듈에 추가될 예정입니다. 그 후에는 xDome에서 해당 취약점이 포함된 디바이스를 식별하는 데 도움이 될 수 있습니다. 하지만 수동적인 탐지만으로는 이 취약점을 식별할 수 없다는 점에 유의하세요.
CTD 및 xDome Secure Access(이전의 SRA) 고객용: 이 취약점은 곧 출시될 번들 91에 추가될 예정입니다.
Facebook은 최고의 보안 기준을 유지하고 운영의 안전을 보장하기 위해 최선을 다하고 있습니다. 궁금한 점이 있거나 추가 지원이 필요한 경우 언제든지 지원팀에 문의하시기 바랍니다.
