Cato 보안 리서치의 신속한 CVE 완화
OWASP는 가상 패치를 ‘알려진 취약점을 악용하지 못하게 하는 보안 정책 시행 계층’이라고 정의합니다. Cato는 Cato 단일 패스 클라우드 엔진(SPACE)의 IPS 계층을 통해 가상 패치를 진행합니다. Cato 전문가는 새로운 IPS 규칙을 배포하여 새로운 CVE에 신속히 대응하며, 고객님은 별도의 조치를 취하실 필요가 없습니다.
Cato가 완화한 일부 중대 CVE
Name
Apache Struts 2 파일 업로드 원격 코드 실행
CVE
CVE-2023-50164
Severity Score
9.8 (Critical)
Detect to Protect
1일
Description
Apache Struts 2 웹 프레임워크에서 결함이 있는 파일 업로드 로직을 통해 원격으로 코드를 실행하여 임의의 파일을 업로드하고 코드를 실행할 수 있습니다
Detection
POC 사용 가능 – 2023년 12월 12일
Opt-in Protection
2023년 12월 12일
Global Protection
2023년 12월 13일
Name
Cisco IOS XE 웹 UI 권한 상승 취약점
CVE
CVE-2023-20198
Severity Score
10 (Critical)
Detect to Protect
2일
Description
IOS XE와 HTTP 웹 UI 기능이 실행 중이며 인터넷에 연결된 Cisco 기기에서 권한 상승 취약점이 발생할 수 있습니다
Detection
POC 사용 가능 – 2023년 10월 30일 20:30(UTC)
Opt-in Protection
2023년 10월 31일 20:00(UTC)
Global Protection
2023년 11월 1일 20:00(UTC)
Name
cURL SOCKS5 프록시 힙 버퍼 오버플로
CVE
CVE-2023-38545
Severity Score
7.5 (High)
Detect to Protect
1일 3시간
Description
SOCKS5 프록시 핸드셰이크 중 호스트 이름 확인에서 힙 버퍼 오버플로 취약점으로 인해 취약한 libcurl이 구현되어 악의적인 코드가 실행될 수 있습니다
Detection
2023년 10월 11일 06:30(UTC)
Opt-in Protection
2023년 10월 11일 20:00(UTC)
Global Protection
2023년 10월 12일 9:30(UTC)
Name
Atlassian Confluence 데이터 센터 및 서버 권한 상승 취약점
CVE
CVE-2023-22515
Severity Score
10 (Critical)
Detect to Protect
1일 23시간
Description
공격자가 취약한 엔드포인트를 악용하여 무단으로 관리자를 생성하여 서버 액세스 권한을 획득할 수 있는 Atlassian Confluence 서버 및 데이터 센터의 온프레미스 버전의 권한 상승 취약점입니다
Detection
2023년 10월 4일 13:00(UTC)
Opt-in Protection
2023년 10월 5일 11:00(UTC)
Global Protection
2023년 10월 6일 12:00(UTC)
Name
MOVEit Transfer SQLi
CVE
CVE-2023-34362
Severity Score
10 (Critical)
Detect to Protect
3일 6시간
Description
관리형 파일 전송(MFT) 솔루션인 InProgress의 MOVEit Transfer의 SQLi는 공격자가 SQL 명령을 실행할 수 있게 해주며, 이로 인해 RCE를 허용하는 전용 백도어가 설치될 수 있습니다.
Detection
2023년 6월 6일 오전 8:00
Opt-in Protection
2023년 6월 8일 오후 4:30
Global Protection
2023년 6월 9일 오후 2:00
Name
Microsoft Outlook 원격 해시 취약점
CVE
CVE-2023-23397
Severity Score
9.8 (Critical)
Detect to Protect
0*
Description
Microsoft Outlook 권한 상승 취약점 * 소요 시간 없음: Cato 방화벽은 아웃바운드 SMB 트래픽을 기본적으로 차단합니다
Detection
2023년 3월 3일 오전 8:02
Opt-in Protection
2023년 3월 3일 오전 8:02
Global Protection
2023년 3월 3일 오전 8:02
Name
OWASSRF, MS Exchange RCE
CVE
CVE-2022-41082
Severity Score
8.8 (High)
Detect to Protect
23시간 45분
Description
ProxyNotShell 익스플로잇 체인의 일부인 MS Exchange의 일부 버전은 RCE(원격 코드 실행)에 취약합니다
Detection
2022년 12월 21일 오후 5:00
Opt-in Protection
2022년 12월 21일 오후 11:29
Global Protection
2022년 12월 22일 오후 4:45
Name
Microsoft Exchange 원격 코드 실행
CVE
CVE-2022-41040, CVE-2022-41082
Severity Score
8.8 (High)
Detect to Protect
2일 10시간 6분
Description
Microsoft Exchange Server 권한 상승 취약점
Detection
2022년 9월 30일 오후 1:19
Opt-in Protection
2022년 9월 30일 오후 11:25
Global Protection
2022년 10월 2일 오후 12:40
Name
DogWalk – Microsoft Windows 지원 진단 도구 원격 코드 실행
CVE
CVE-2022-34713
Severity Score
7.8 (High)
Detect to Protect
2일 4시간 54분
Description
Microsoft Windows 지원 진단 도구(MSDT) 원격 코드 실행 취약점
Detection
2022년 8월 10일 오전 11:22
Opt-in Protection
2022년 8월 11일 오후 6:38
Global Protection
2022년 8월 12일 오후 4:16
Name
Apache Spark 원격 코드 실행
CVE
CVE-2022-33891
Severity Score
8.8 (High)
Detect to Protect
1일 7시간 17분
Description
Apache Spark UI는 구성 옵션 spark.acls.enable을 통해 ACLs를 활성화할 수 있는 가능성을 제공합니다. 인증 필터를 사용하면 사용자에게 애플리케이션을 보거나 수정할 수 있는 액세스 권한이 있는지 확인할 수 있습니다. ACLs가 활성화되어 있는 경우, HttpSecurityFilter의 코드 경로를 통해 누군가 임의의 사용자 이름으로 사칭할 수 있습니다. 이 경우 악의적인 사용자가 권한 확인 기능에 접근하여 입력 내용을 기반으로 유닉스 셸 명령을 작성하고 실행할 수 있습니다. 이렇게 되면 현재 사용자가 Spark를 실행한 것처럼 임의의 셸 명령이 실행됩니다
Detection
2022년 7월 19일 오전 10:06
Opt-in Protection
2022년 7월 19일 오후 7:25
Global Protection
2022년 7월 20일 오후 5:23
Name
Microsoft 지원 진단 도구 원격 코드 실행
CVE
CVE-2022-30190
Severity Score
7.8 (High)
Detect to Protect
1일 8시간 17분
Description
Microsoft Windows 지원 진단 도구(MSDT) 원격 코드 실행 취약점
Detection
2022년 5월 31일 오전 8:43
Opt-in Protection
2022년 5월 31일 오후 10:06
Global Protection
2022년 6월 1일 오후 5:00
Name
VMware Tanzu Spring Cloud Function 원격 코드 실행
CVE
CVE-2022-22963
Severity Score
9.8 (Critical)
Detect to Protect
2일 1시간 54분
Description
Spring Cloud Function 버전 3.1.6, 3.2.2 및 이전 미지원 버전에서는 라우팅 기능을 사용할 때 사용자가 특수하게 제작된 SpEL를 라우팅 표현식으로 제공하여 원격 코드를 실행하고 로컬 리소스에 액세스할 수 있습니다
Detection
2022년 3월 30일 오후 6:00
Opt-in Protection
2022년 3월 30일 오후 11:09
Global Protection
2022년 4월 1일 오후 7:54
Name
Log4shell
CVE
CVE-2021-44228
Severity Score
10.0 (Critical)
Detect to Protect
17시간 2분
Description
구성, 로그 메시지, 파라미터에 사용되는 Apache Log4j2 2.0-베타9~2.15.0(보안 릴리스 2.12.2, 2.12.3, 2.3.1 제외) JNDI 기능은 공격자가 제어하는 LDAP 및 기타 JNDI 관련 엔드포인트를 보호하지 못합니다. 로그 메시지 또는 로그 메시지 매개변수를 제어할 수 있는 공격자는 메시지 조회 대체가 활성화된 경우 LDAP 서버에서 불러온 임의의 코드를 실행할 수 있습니다
Detection
2021년 12월 10일 오후 8:45
Opt-in Protection
2021년 12월 11일 오전 3:16
Global Protection
2021년 12월 11일 오후 1:47
Name
Apache HTTP Server 경로 탐색
CVE
CVE-2021-41773
Severity Score
7.5 (High)
Detect to Protect
1일 16시간 46분
Description
Apache HTTP Server 2.4.49의 경로 정규화 변경에서 결함이 발견되었습니다. 공격자는 경로 탐색 공격으로 에일리어스 같은 지시문으로 구성된 디렉터리 외부의 파일에 URL을 매핑할 수 있습니다. 이러한 디렉터리 외부의 파일이 일반적인 기본 구성인 ‘모두 거부 필요’로 보호되지 않는 경우, 이러한 공격이 성공할 수 있습니다. 이러한 에일리어스 경로에 대해 CGI 스크립트를 활성화하면 원격 코드 실행을 할 수 있습니다
Detection
2021년 10월 6일 오전 7:19
Opt-in Protection
2021년 10월 7일 오후 2:01
Global Protection
2021년 10월 8일 오전 12:05
Name
Exchange Autodiscover 비밀번호
CVE
Severity Score
(Critical)
Detect to Protect
5일 5시간 30분
Name
VMware vCenter RCE (II)
CVE
CVE-2021-22005
Severity Score
9.8 (Critical)
Detect to Protect
3일 10시간 1분
Description
vCenter Server에는 애널리틱스 서비스의 임의 파일 업로드 취약점이 포함되어 있습니다. vCenter Server 포트 443에 네트워크 액세스 권한이 있는 악의적인 공격자가 이 문제를 악용하여 특수하게 조작된 파일을 업로드하여 vCenter Server에서 코드를 실행할 수 있습니다
Detection
2021년 9월 23일 오전 8:36
Opt-in Protection
2021년 9월 23일 오후 6:23
Global Protection
2021년 9월 26일 오후 6:37
Name
PrintNightmare Spooler RCE 취약점
CVE
CVE-2021-1675
Severity Score
8.8 (High)
Detect to Protect
6일 6시간 28분
Description
Windows Print Spooler 권한 상승 취약점
Detection
2021년 7월 5일 오후 12:16
Opt-in Protection
2021년 7월 11일 오전 10:52
Global Protection
2021년 7월 11일 오후 6:44
Name
Sphere Client (HTML5) Remote Code Execution
CVE
CVE-2021-21985
Severity Score
9.8 (Critical)
Detect to Protect
3 days, 11 hours, 29 minutes
Description
The vSphere Client (HTML5) contains a remote code execution vulnerability due to lack of input validation in the Virtual SAN Health Check plug-in which is enabled by default in vCenter Server. A malicious actor with network access to port 443 may exploit this issue to execute commands with unrestricted privileges on the underlying operating system that hosts vCenter Server
Detection
May 31, 2021 at 10:55 AM
Opt-in Protection
June 1, 2021 at 9:47 PM
Global Protection
June 3, 2021 at 10:24 PM
Name
F5 Vulnerability
CVE
CVE-2021-22986
Severity Score
9.8 (Critical)
Detect to Protect
2 days, 19 hours, 38 minutes
Description
On specific versions of BIG-IP and BIG-IQ , the iControl REST interface has an unauthenticated remote command execution vulnerability
Detection
Mar 20th, 2021 at 11:43 PM
Opt-in Protection
Mar 23rd, 2021 at 12:12 PM
Global Protection
March 23, 2021 at 7:21 PM
Name
MS Exchange SSRF
CVE
CVE-2021-26855
Severity Score
9.8 (Critical)
Detect to Protect
4 days, 2 hours, 23 minutes
Description
Microsoft Exchange Server Remote Code Execution Vulnerability
Detection
March 3, 2021 at 11:03 AM
Opt-in Protection
March 4, 2021 at 10:48 PM
Global Protection
March 7, 2021 at 1:26 PM
Name
VMWare VCenter RCE
CVE
CVE-2021-21972
Severity Score
9.8 (Critical)
Detect to Protect
1 day, 1 hour, 57 minutes
Description
The vSphere Client (HTML5) contains a remote code execution vulnerability in a vCenter Server plugin. A malicious actor with network access to port 443 may exploit this issue to execute commands with unrestricted privileges on the underlying operating system that hosts vCenter Server.
Detection
February 25, 2021 at 10:06 AM
Opt-in Protection
February 25, 2021 at 7:16 PM
Global Protection
February 26, 2021 at 12:03 PM
CVE 완화가 어려운 이유는 무엇일까요?
새로운 CVE로부터 네트워크를 보호하는데 소요되는 프로세스, 리소스, 시간으로 많은 고객님들께서 어려움을 겪습니다. 이유는 다음과 같습니다.
공급업체는 CVE를 연구하고 시그니처를 개발해야 합니다
고객은 유지 관리 기간 이내에 시그니처를 테스트해야 합니다
고객 테스트 시 시그니처가 트래픽을 중단시키거나 검사 성능 또는 사용자 경험에 영향을 미치지 않는지 확인해야 합니다
테스트에 성공한 경우에만 시그니처를 활성화할 수 있습니다
이 리소스 집약적인 프로세스로 인해 많은 고객님들이 침입 방지 시스템(IPS)을 탐지 모드로 전환하거나 최적의 보안 상태를 유지하는 데 뒤처지게 됩니다. 공격자가 오래된 취약점을 포함하여 패치되지 않은 CVE를 악용하려고 시도하기 때문에 침해 위험이 커집니다.
Cato Networks의 새로운 CVE에 대한 완전 자동화된 가상 패치
Cato 보안팀이 수행하는 가상 패치 프로세스는 다음 4단계로 구성되어 있습니다.
평가
CVE의 범위를 평가하고 취약점을 조사합니다. 특히, 실제로 이 CVE를 사용한 공격이 발생한 경우를 평가합니다.
어느 시스템이 영향을 받는지와 공격자가 어떻게 공격을 하는지 이해합니다
개발
새로운 IPS 규칙을 생성하여 취약점을 가상 패치합니다
트래픽 메타 데이터에 대한 백 테스트를 기반으로 오탐지를 제거합니다
옵트인 보호
‘시뮬레이션 모드’에서 가상 패치를 선택적으로 배포합니다
특정 고객에 대한 옵트인 방지를 활성화합니다
글로벌 보호
가상 패치를 예방 모드로 전환합니다
모든 고객과 모든 트래픽에 가상 패치를 적용합니다
이 프로세스는 고객님의 리소스가 필요하지 않으며 고객님의 비즈니스 운영에 지장 없이 진행됩니다.