Blog

NGINX 및 마이크로소프트 윈도우 SMB 원격 프로시저 호출 서비스의 소프트웨어 취약점에 미리 대비하세요

April 14, 2022
Charlie Eriksen


보안 및 데이터 보호와 관련해서는 최신 개발에 대한 신속한 대응이 매우 중요합니다.결국 해킹과 위협은 언제든지 발생할 수 있으므로 경계를 늦추지 않는 것이 중요합니다.여기 시큐어 코드 워리어, 당사는 최신 취약성, 위험 완화를 위해 취해야 할 조치 및 사용자 보호 방법에 대한 최신 정보를 제공하기 위해 노력하고 있습니다.도움이 될 수 있는 최근 발표와 마찬가지로 스프링 라이브러리 취약점, 여기서는 새로 발견된 두 가지 취약점에 대해 알아보려고 합니다.

현재 우리는 두 가지 새로운 취약점에 초점을 맞추고 있습니다. 첫 번째는 “Windows RPC RCE”로 알려진 마이크로소프트의 서버 메시지 블록이고 두 번째는 “LDAP 참조 구현”으로 알려진 NGINX입니다.

이 취약성에 대해 지금까지 파악한 내용과 위험을 완화하기 위해 취할 수 있는 조치에 대해 알아보려면 계속 읽어보세요.

마이크로소프트 윈도우 RPC RCE - CVE-2022-26809

마이크로소프트는 4월 패치 화요일에 취약점을 공개했습니다. SMB (서버 메시지 블록) 기능, 특히 부품 처리 RPC의 경우이 취약점은 CVE-2003-0352 공격과 비슷하기 때문에 익숙하게 들릴 수도 있습니다. 웜 블래스터 2003년으로 거슬러 올라갑니다!

착취의 위험 수준과 가능성은 어느 정도입니까?

Microsoft의 권고에 따르면 “공격 복잡성”은 “낮음”이며 평가되었습니다. 착취 위험 야생에서 착취가 입증되지 않은 경우 가장 높은 레벨인 “착취 가능성 증가”가 됩니다.

현재 알려진 악용 사례가 없지만 공격 복잡도가 낮고 악용 가능성이 높다는 평가로 인해 악의적인 행위자가 블래스터 공격을 통해 빠르고 쉽게 악용할 수 있다는 우려가 있습니다.

연구원들은 공용 인터넷에서 포트 139/445에 액세스할 수 있는 많은 호스트를 확인했습니다. 이는 대규모 탐사가 발생할 경우 상당히 걱정스러운 일입니다.

위험을 완화하기 위해 사용자는 어떤 조치를 취해야 할까요?

다행히도 이 취약점에 의해 악용될 위험을 완화하는 것은 비교적 쉽습니다.

  1. 인터넷에서 포트 139 및 445에 대한 액세스를 차단하고 액세스가 필요한 경우 내부 액세스로만 제한하십시오.Microsoft 설명서에서 자세한 내용을 확인할 수 있습니다. 이리.
  2. 마이크로소프트가 2022년 4월 12일에 릴리스한 패치를 적용하세요.

NGINX - LDAP 레퍼런스 구현 RCE

NGINX 공개되었습니다 2022년 4월 11일, 시스템에서 원격 코드 실행 (RCE) 을 허용하는 “LDAP 참조 구현 RCE”라는 새로운 취약점이 발생했습니다.

취약점은 무엇인가요?

이 취약점은 프로덕션 시스템이나 일반적으로 민감한 시스템에서 사용하기 위한 코드에는 영향을 주지 않기 때문에 고유합니다.그보다는 이름에 있는 “참조 구현”에서 알 수 있듯이 이 코드의 목적은 NGINX 설정에서 LDAP 통합이 어떻게 작동할 수 있는지 보여주는 것입니다.

누가 위험에 처해 있으며 코드를 보호하려면 어떻게 해야 할까요?

다행히 NGINX는 기본적으로 취약하지 않습니다.주요 위험은 LDAP 확장이 설치된 경우입니다.그렇더라도 취약점이 악용되려면 다른 여러 조건도 충족되어야 합니다.권장되는 조치 중 하나는 참조 구현을 사용하는 경우 프로덕션에 바로 사용할 수 있는 구현으로 전환하라는 것입니다.

자세한 내용은 다음을 참조하십시오. 엔지닉스 공시.

취약점으로 인해 노출된 느낌이 드시나요?저희가 도와드릴 수 있습니다.

오늘날의 윈도우 RPC RCE 및 NGINX - LDAP 레퍼런스 구현 RCE부터 지난 달의 스프링 취약점까지, 분명한 사실은 소프트웨어 취약성 항상 존재합니다.

대부분의 회사는 코드 및 고객에 대한 위험을 줄이기 위해 신속한 대응 전략에 초점을 맞추고 있지만, 여기에는 중요하지만 위험에 노출될 수 있는 사후 대응적 접근 방식이 있습니다.보안 코드 구축, 개발자 기술 향상, 보안 중심 문화 조성을 위한 사전 예방적 전략이 위협으로부터 자신을 보호하는 가장 좋은 방법이라고 생각합니다.

소프트웨어 개발 수명 주기 초기에 개발자 중심 보안을 강조하면 보호 기능이 향상되고 코드 배포 효율성이 향상되며 시간과 비용이 절약됩니다.

시큐어 코드 워리어가 저희 고유의 기능을 도와드리겠습니다. 교육 플랫폼 이는 교육 콘텐츠에서 팀이 배우고 있는 새로운 기술을 실제로 적용하는 데까지 이어집니다.

방법 알아보기 시큐어 코드 워리어 학습 플랫폼 개발자에게 보안 코딩 교육을 제공할 수 있습니다.

태그라인

Govern AI-driven development before it ships

Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.

book a demo
태그라인

Explore more blogs

우리는 이 방법을 잘 알고 있습니다. 우리는 이 두 가지 축복을 골고루 살기 위해 노력하고 있습니다.

browse all
Case Study
Filter Label
This is some text inside of a div block.

Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Security as culture: How Blue Prism cultivates world-class secure developers

Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

Learn More
Case Study
Filter Label
This is some text inside of a div block.

One Culture of Security: How Sage built their security champions program with agile secure code learning

Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Learn More
Blog
Filter Label
This is some text inside of a div block.

The Future of AI Software Governance Is Built on Strong Partnerships

Discover why Secure Code Warrior is becoming a channel-first company and how trusted partners help organizations adopt AI Software Governance securely and at scale.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Citizen AI by Secure Code Warrior: Build an AI-Ready Workforce

Secure Code Warrior's AI literacy program for non-developer employees.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Why most CISOs are navigating AI adoption blindfolded (and how they can remove it)

Today, Secure Code Warrior issued an all-new white paper covering a prescriptive, directional AI adoption model that security leaders can use to identify their adoption stage and make real progress in bringing the AI security risks within their organization under control.

Learn More

Secure AI-driven development before it ships

See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

Book a demo