패치 없음, 보안 없음
사이버 보안 영역에서는 정기적으로 업데이트를 확인하고 적용하면 시스템을 안전하게 유지할 수 있다고 생각하는 경우가 많습니다. 하지만 미묘한 뉘앙스를 간과하는 경우가 많습니다. "사용 가능한 모든 패치"를 적용했다고 말할 때, 실제로는 "배포 공급업체가 제공한" 모든 패치를 적용했다는 의미입니다. 여기에는 완전한 적용이 항상 보장되는 것은 아니라는 잠재적 함정이 있습니다.
CVE 점수 게임 해독하기
CVE 점수는 당혹스러울 수 있습니다. 전문가마다 특정 취약점을 평가하는 방식이 다른 경우가 많기 때문에 취약점 및 위험 분석에 대한 주관적인 접근이 이루어질 수 있습니다. 이러한 주관적인 평가로 인해 취약점이 다음과 같이 평가될 수 있습니다. 과대평가 또는 잠재적 위협 측면에서 과소평가될 수 있습니다.
곧 출시될 CVE 점수 시스템 버전 4.0에서는 이러한 주관성을 줄이기 위한 시도가 이루어지고 있습니다. 그럼에도 불구하고 소프트웨어 공급업체는 때때로 공식 CVE 점수를 조정하거나 무시하여 특정 취약점에 대한 패치를 릴리스하지 않기로 결정하기도 합니다. 이러한 불일치로 인해 사용자는 취약한 상태에 놓일 수 있습니다. 또한 CVE 점수에 따라 패치와 관련된 다양한 규정 준수 요구 사항의 적용 여부가 결정됩니다.
규정 준수 ≠ 보안
규정 준수 표준을 충족하기 위해 소프트웨어를 패치하는 것만으로는 진정으로 안전한 환경을 구축할 수 없습니다. 규정 준수의 관료주의적 특성은 빠르게 진화하는 위협 환경에 뒤처져 시스템을 위험에 빠뜨리는 경우가 많습니다.
특정 취약점에 대한 패치를 적용하지 않으면 규정 준수 요건을 충족하기 위해 패치를 적용했을 때 얻을 수 있는 보안에 대한 환상을 더욱 악화시킬 뿐입니다. 보안 컴플라이언스 보고서에는 모든 취약점에 대한 패치가 적용되었지만 시스템에는 여전히 수많은 보안 결함이 존재할 수 있습니다.
하지만 평판이 좋은 공급업체에서 패치를 받습니다.
또 다른 일반적인 오해는 평판이 좋은 공급업체로부터 패치를 소싱하면 보안이 보장된다는 것입니다. 그러나 저희 조사 결과, Red Hat이 아직 공식 지원을 받고 있음에도 불구하고 RHEL 7 또는 CentOS 7 운영 체제의 중요한 취약성에 대한 패치를 릴리스하지 않은 사례(수백 건)가 다수 발견되었습니다. 예를 들면 다음과 같습니다:
CVE-2023-2953 (7.1 CVSS v3.1, 레드햇 점수 7.1): 널리 사용되는 중앙 집중식 ID 관리 플랫폼인 OpenLDAP의 취약점입니다. 레드햇의 입장: 수정하지 않음.
CVE-2023-27534 (8.8 CVSS v3.1, 레드햇 점수 3.7): SFTP 리소스에 액세스할 때 경로 탐색을 처리하는 curl의 결함. 레드햇의 입장: 수정하지 않음.
CVE-2022-1292 (9.8 CVSS v3.1, 레드햇 점수 6.7): MySQL과 같은 패키지에도 영향을 미치는 OpenSSL의 스크립트 문제입니다. Red Hat의 솔루션: 버전 8 및 9에서만 사용 가능한 수정. 이 특정 취약점에 대해 인터넷에서 최소한의 노력으로 쉽게 액세스할 수 있는 개념 증명 익스플로잇 코드가 있다는 점에 유의하세요.
그리고 다른 많은 CVE도 이 라인을 따르고 있습니다.
레드햇은 때때로 취약점을 원래 NIST CVE 점수보다 낮은 점수로 평가한다는 점에 주목할 필요가 있습니다. 점수가 낮다는 것은 특정 결함이 더 이상 특정 위험 등급(예: 위험, 높음, 중간 등)에 속하지 않음을 의미합니다. 그렇다고 해서 취약점이 덜 위험한 것은 아닙니다. 단지 취약점이 패치되지 않은.
레드햇의 점수 변화는 다음과 같은 여러 요소를 기반으로 하는 위험 분석을 반영하는 경향이 있습니다. 몇 가지 요소 실제 사용 사례 시나리오와 항상 일치하지는 않을 수 있습니다. 시스템을 사용하는 방식이나 시스템에 적용된 구성 변경 사항에 따라 특정 취약점의 위협이 영향을 받아 원래 공급업체가 지정한 프로필이 변경될 수 있습니다. 항상 "선 안에 색을 칠"하는 한, 이는 대부분 맞습니다. 그러나 초기 점수 평가에서 고려하지 않은 특정 환경이 적용되면 점수를 낮춘 위험 분석은 더 이상 해당 취약점을 패치하지 않을 때 발생하는 실제 위험을 반영하지 못합니다.
재앙을 부르는 단 하나의 취약점
초콜릿이 100개나 있는데 그 중 하나를 먹으면 중병에 걸릴 수 있다는 사실을 알면서도 초콜릿을 먹겠습니까? 패치되지 않은 취약점 하나만 있어도 모든 보안 조치가 손상될 수 있습니다. 전체 서버에 걸쳐 패치되지 않은 수많은 취약점을 가지고 운영하는 것은 위험성이 높은 전략이며 재앙을 초래할 수 있는 완벽한 레시피입니다.
TuxCare 수명 주기 연장 지원: 솔루션
TuxCare는 업스트림 프로젝트에서 백포트된 패치를 제공하므로 공식 공급업체보다 더 포괄적이고 시기적절한 수정을 보장합니다. NIST에서 높은 점수를 받거나 치명적인 CVE가 업스트림에서 패치되지 않은 경우, TuxCare 팀이 해당 패치를 빌드하여 ELS 구독자 리포지토리에 제공합니다. CentOS 7과 같은 시스템을 사용하는 사용자는 TuxCare의 ELS 구독 시 제공되는 업데이트의 수 에 놀랄 수 있습니다. 예를 들어, CentOS 6 ELS 서비스 가입자에게는 업스트림 공급업체에서 제공하지 않는 300개 이상의 패치가 제공됩니다. CentOS 7의 경우 이러한 패치를 제공할 수 있습니다. 이전 패치를 제공할 수 있습니다.