CERT/CC Warns of Unpatched Critical Vulnerability in Microchip ASF
- 취약점 개요
- Microchip의 Advanced Software Framework (ASF) 버전 3.52.0.2574 및 그 이전 버전에서 치명적인 보안 취약점이 발견됨
- 이 취약점은 CVE-2024-7490으로 추적되며, Tinydhcp 서버 구현의 입력 검증 오류로 인해 원격 코드 실행이 가능
- 주요 항목
- ASF의 DHCP 구현에서 입력 검증 실패로 인해 스택 기반 오버플로우가 발생
- 공격자는 특정 DHCP 요청 패킷을 멀티캐스트 주소로 보내 원격에서 코드를 실행할 수 있음
- 영향 받는 소프트웨어
- ASF 3.52.0.2574 및 그 이전 모든 버전이 영향을 받음
- GitHub에서 사용 가능한 Tinydhcp 포크도 영향을 받을 수 있음
- 취약점 심각성
- CERT/CC에 따르면 이 취약점은 IoT 중심 코드에서 발생하기 때문에 다양한 실제 환경에서 악용될 가능성이 높음
- 단일 DHCP 요청 패킷만으로도 취약점 테스트가 가능함
- 해결책 및 대응
- Microchip은 ASF 3.52.0.2574 버전 이후의 소프트웨어를 더 이상 지원하지 않으며, 고객들에게 최신 소프트웨어 솔루션으로 마이그레이션할 것을 권장
- CERT/CC는 이 문제에 대한 실질적인 해결책이 없으며, Tinydhcp 서비스를 다른 안전한 서비스로 대체할 것을 권장
- 기타 상황
- Microchip은 최근 랜섬웨어 공격을 받아 데이터 유출 및 운영 중단이 발생한 바 있음.
'Kant's IT > Vulnerability' 카테고리의 다른 글
| CUPS 인쇄 시스템에서 발견된 심각한 원격 코드 실행(RCE) 취약점 (0) | 2024.09.28 |
|---|---|
| 미국 CISA, 이반티 취약점 긴급 패치 권고 (1) | 2024.09.28 |
| ESET 제품의 권한 상승 취약점 수정 (0) | 2024.09.25 |
| 대규모 정보 처리에 사용되는 오픈소스에서 취약점 경고 (0) | 2024.09.24 |
| Ivanti Cloud Services Appliance (CSA) 취약점 경고 및 보안 권고 (0) | 2024.09.22 |