sehee

목차
1. 과학기술&ICT 정책·기술 동향 241호 (230623)
2. 소프트웨어 개발 유통 운영 공급망 전단계 보안체계 구축한다 (230627)

1. 과학기술&ICT 정책·기술 동향 241호 (230623)

(출처: S&T GPS 글로벌 과학기술정책정보 서비스, 간행물, 241호)

 

---

2. 소프트웨어 개발 유통 운영 공급망 전단계 보안체계 구축한다

(출처: 과학기술정보통신부, 보도자료, 정보보호산업과 김성환 사무관(044-202-6451))

230628 조간 (보도) 소프트웨어 개발 유통 운영 공급망 전단계 보안체계 구축한다.pdf

0.65MB

 

• 과기정통부, 소프트웨어 공급망 보안 체계 구축을 위한 실증사업 착수
• 제품･서비스 개발단계: 스패로우의 ‘Sparrow SCA’라는 오픈소스 관리 솔루션을 통해 SBOM 생성, 취약점 분석･조치 및 컨설팅 등을 수행, 취약점을 분석할 때는 보안 취약점 공통식별자 목록(CVE, Common Vulnerability Exposure) 등을 활용
• 운영단계: 수요 기업이 활용하는 제품･서비스에 대해 레드펜소프트의 ‘XSCAN’이라는 솔루션을 통해 같은 절차를 수행하고 결과를 비교하는 방법 등을 통해 유효성을 입증하는 등의 실증을 추진할 것

목차
CVE(Common Vulnerabilities and Exposures)
NVD(National Vulnerability Database)
- CVSS(Common Weakness Enumeration)
CWE(Common Weakness Enumeration)

e.g., CVE-2022-1009 / CVE-2023-1009

CVE (Common Vulnerabilities and Exposures)

https://www.cve.org/

공통 취약성 및 노출

MITRE에서 관리하는 공개된 취약점 및 노출 목록

1) CVE-2022-1009 - https://www.cve.org/CVERecord?id=CVE-2022-1009

설명: 악의적인 사전 설정 구성을 업로드할 때 관리 페이지에 다시 출력하기 전에 구성 매개변수를 삭제하고 반환하지 않음 → Reflected Cross-Site Scripting 발생 가능성(공격자가 admin 계정으로 악성 구성 파일을 업로드 해야 함)

제품: 3.9.9 이전의 Smush WordPress 플러그인 / Smush - Lazy Load Images, Optimize & Compress Images

생성 날짜: (Published/Updated) 2022-05-30

피해규모: 중간(NVD 참조)

참조: https://wpscan.com/vulnerability/bb5af08f-bb19-46a1-a7ac-8381f428c11e

2) CVE-2023-1009 - https://www.cve.org/CVERecord?id=CVE-2023-1009

설명: /cgi-bin/mainfunction.cgi 파일의 sub_1DF14 함수가 영향을 받음, /../etc/password 입력으로 인수 옵션을 조작하여 경로 순회가 발생(로컬 네트워크 내에 공격이 이루어짐)

악의적인 사전 설정 구성을 업로드할 때 관리 페이지에 다시 출력하기 전에 구성 매개변수를 삭제하고 반환하지 않음 → Reflected Cross-Site Scripting 발생 가능성(공격자가 admin 계정으로 악성 구성 파일을 업로드 해야 함)

제품: DrayTek Vigor 2960 1.5.1.4 / Vigor 2960

생성 날짜: (Published/Updated) 2023-02-24

피해규모: 중간-낮음(NVD 참조)

참조: https://vuldb.com/?id.221742

NVD (National Vulnerability Database) (CVSS 포함)

https://nvd.nist.gov/

SCAP(Security Content Automation Protocol) 기반 표준 형태의 취약점 관리 용 미 정부 저장소

CVSS(Common Vulnerability Scoring System)으로 취약점 평가

* CVSS: 취약점 지표, 소프트웨어 취약점의 특성 및 피해 심각도를 표현하기 위한 개방형 프레임워크

1) CVE-2022-1009 - https://nvd.nist.gov/vuln/detail/CVE-2022-1009

설명/참조 동일(CVE)

심각성: 6.1(MEDIUM) - CVSS v3.0 Ratings / 4.3(MEDIUM) – CVSS v2.0 Ratings

2) CVE-2023-1009 - https://nvd.nist.gov/vuln/detail/CVE-2023-1009

설명/참조 동일(CVE)

심각성: 5.5(MEDIUM) - CVSS v3.0 Ratings / N/A – CVSS v2.0 Ratings

CWE (Common Weakness Enumeration)

https://cwe.mitre.org/

community-developed list of software and hardware weakness types

한 기관에서 개발한 것이 아님

1) CVE-2022-1009(CWE-79) - https://cwe.mitre.org/data/definitions/79.html

설명: 웹 페이지 생성 중 제어할 수 있는 입력을 무효화시킴(Cross-site Scripting)

세부 설명: XSS 취약점이 발생하는 경우 및 종류 설명

① Reflected XSS (or Non-Persistent) ② Stored XSS (or Persistent) ③ DOM-Based XSS

악용 가능성: High

2) CVE-2023-1009(CWE-22) - https://cwe.mitre.org/data/definitions/22.html

설명: 제한된 디렉토리에 대해 경로 이름을 부적절하게 제한함/순회(Path Traversal)

세부 설명: 파일 작업은 제한된 디렉토리 내에서 발생하도록 되어 있으며, “..” 및 “/”과 같은 특수 구분 기호를 이용하여 공격자는 제한된 위치의 외부 경로로 이동하여 다른 위치의 파일 또는 디렉터리에 액세스할 수 있음

① “../”: 현재 위치의 상위 디렉터리 – 상대경로 순회

② “/usr/local/bin”: 파일 액세스 – 절대 경로 순회

악용 가능성: High