StinkyBit

사이트코어 CMS의 취약점: 하드코딩된 ‘b’ 비밀번호로 시작되는 공격 체인

최근 발표된 보고서에 따르면, 사이트코어(Sitecore) 경험 플랫폼(XP)의 여러 취약점들이 공격자들에게 인증 없이 원격 코드 실행(RCE, Remote Code Execution)을 가능하게 한다고 합니다. 이는 서버를 침입하고 장악할 수 있는 심각한 위협이 될 수 있습니다. 이번 글에서는 해당 취약점 체인의 시작점과 그로 인해 발생할 수 있는 보안 위험에 대해 살펴보겠습니다.

공격 체인의 시작: 하드코딩된 비밀번호

다수의 보안 전문가들은 하드코딩된 비밀번호가 취약점이 되는 경우가 많다고 강조합니다. 이번에 발견된 사이트코어의 취약점 또한 하드코딩된 ‘b’ 비밀번호로 시작됩니다. 최근 보안 연구자들은 이 취약점을 통해 공격자들이 ‘b’라는 하드코딩된 비밀번호사전 인증(pre-authentication) 없이 백도어(backdoor)에 접근할 수 있게 되었다고 경고하고 있습니다. 공격자들은 이 비밀번호를 이용해 사이트코어 CMS에 접근할 수 있으며, 이를 통해 서버를 타겟으로 하여 추가적인 공격을 계획할 수 있습니다. 이러한 취약점은 웹 어플리케이션에서 비밀번호와 같은 민감한 정보를 안전하게 보호하는 것이 얼마나 중요한지를 다시금 일깨워 줍니다.

원격 코드 실행(RCE)의 위험성

공격자들은 이 체인을 통해 원격 코드 실행(RCE)을 유발할 수 있습니다. 이는 악성 코드를 서버에 배포하고, 서버의 특정 취약점을 이용하여 제어권을 장악할 수 있는 기회를 제공합니다. 이 과정에서 공격자는 중간자 공격(Man-in-the-Middle) 등을 통해 사용자 정보를 탈취하거나, 내부 데이터를 조작하는 등 다양한 악의적 행위를 저지를 수 있습니다. 따라서, 이런 유형의 취약점이 존재하는 플랫폼은 사용자에게 큰 재난을 초래할 수 있으므로 반드시 주의해야 합니다.

Linux 시스템을 위협하는 새로운 취약점: PAM과 Udisks를 통한 루트 접근 문제

최근 사이버 보안 연구자들이 발견한 두 가지 로컬 권한 상승(Local Privilege Escalation, LPE) 취약점이 주요 Linux 배포판에서 루트 권한을 획득할 수 있는 기회를 제공하고 있다는 소식입니다. 이 취약점들은 CVE-2025-6018CVE-2025-6019로 분류됩니다.

첫 번째 취약점인 CVE-2025-6018은 SUSE 15의 플러그인 인증 모듈(PAM)에서 발생하며, 비권한 사용자에게 allow_active 상태로 권한 상승을 가능하게 합니다. 두 번째 취약점인 CVE-2025-6019allow_active 상태에서 루트 권한으로의 상승을 허용합니다. 이 두 가지 취약점은 컴퓨터 보안의 필수적인 영역이 되는 시스템 권한 관리에 중대한 결함이 있음을 시사합니다. 이를 해결하기 위해 사용자는 패치와 업데이트를 정기적으로 확인하고 즉시 적용하며, 최소 권한 원칙을 유지해야 할 것입니다.

Veeam의 최신 RCE 취약점 및 CVE-2025-23121

최근 Veeam Backup & Replication 제품에서 발견된 새로운 치명적인 원격 코드 실행(RCE) 취약점인 CVE-2025-23121에 주목해야 합니다. 이 취약점은 인증된 도메인 사용자가 특정 조건 하에 임의의 코드를 실행할 수 있도록 허용하는 심각한 보안 결함입니다. CVSS 점수는 9.9로 평가되며, 이는 매우 높은 위험성을 나타냅니다. Veeam의 공식 발표에 따르면, 이 취약점은 Backup 서버에서 원격 코드 실행이 가능하다는 점을 강조하였습니다. 모든 사용자는 즉시 업데이트를 적용하여 이 취약점을 해결해야 합니다.

Microsoft Excel 원격 코드 실행 취약점

최근 Microsoft Excel에서 발견된 원격 코드 실행(running code execution, RCE) 취약점도 주목받고 있습니다. 이 취약점은 공격자가 악성 코드를 실행할 수 있는 가능성을 제시하며, 사용자 시스템에 심각한 위험을 초래할 수 있습니다. Microsoft는 이 취약점을 신속히 해결하기 위해 업데이트를 릴리스할 계획이며, 모든 사용자에게 소프트웨어가 최신 상태인지 확인하는 것이 중요합니다.

이 취약점 역시, 공격자가 비정상적인 방법으로 권한을 부여받지 않고 원격으로 코드를 실행할 수 있는 위험성을 포함하고 있어, 기업과 개인 사용자 모두에게 큰 영향을 미칠 수 있습니다. 사용자는 악성 링크를 클릭하지 않도록 주의하고 보안 소프트웨어를 사용하는 등의 예방 조치를 취해야 합니다.

NVIDIA NVDebug Tool 보안 업데이트: CVE-2025-23252

최근 NVIDIA는 NVDebug Tool에 대한 보안 업데이트를 발표했습니다. 이 업데이트는 CVE-2025-23252라는 보안 취약점을 해결하기 위한 것으로, CVSS 점수 4.5로 평가되었습니다. NVDebug Tool은 NVIDIA의 개발 환경에서 중요한 역할을 하며, 이러한 도구가 안전하지 않다면 개발 과정에서 중대한 영향을 미칠 수 있습니다. 따라서 모든 사용자에게 이번 보안 업데이트를 즉시 적용하여 시스템을 보호할 것을 권장합니다.

Google Chrome CVE-2025-2783 취약점 및 Trinper 백도어

최근 Google Chrome에서 발견된 보안 취약점 CVE-2025-2783이 악용되어 TaxOff라는 악성 행위자에 의해 Trinper라는 이름의 백도어가 배포된 사건이 발생했습니다. 이 취약점은 샌드박스 탈출 취약점으로, CVSS 점수 8.3으로 평가되어 매우 높은 위험도를 지니고 있습니다. 공격자는 불법적인 접근을 통해 사용자의 시스템을 감염시키고, 전반적인 데이터 유출 및 시스템 악용의 원인이 될 수 있습니다.

Trinper 백도어는 그러한 공격을 더욱 복잡하게 만들어 피해자의 시스템을 원격으로 제어할 수 있으며, 이는 개인 정보 탈취와 데이터 유출 등의 큰 위협을 초래할 수 있습니다.

Linux 커널 취약점(CVE-2023-0386)

최근 CISA(사이버보안 및 인프라 보안국)는 CVE-2023-0386을 알려진 악용 취약점 목록에 추가했습니다. 이 취약점은 Linux 커널의 부적절한 소유권 관리 취약점으로, 해커들이 이를 악용할 수 있는 경로를 열 수 있습니다. 특히 서버 환경에서 중요한 파일과 프로세스를 제어할 수 있는 위험이 존재하므로, 시스템 관리자는 즉시 해당 취약점에 대하여 주의하고, 이를 해결하기 위한 패치를 적용해야 합니다. CISA는 모든 조직에 KEV 목록에 포함된 취약점을 신속히 수정할 것을 권고하고 있습니다.

LangSmithLangflow 취약점

최근 사이버 보안 연구자들이 LangChain의 LangSmith 플랫폼에서 패치된 보안 결함을 공개했습니다. 이 결함은 악의적인 행위자에 의해 민감한 데이터를 캡처하는 데 악용될 수 있으며, 여기에는 API 키와 사용자 입력 데이터가 포함됩니다. 또한, Langflow의 버전 1.3.0 이전에서 중대한 원격 코드 실행(RCE) 취약점(CVE-2025-3248)이 발견되었습니다. 이 취약점은 인증되지 않은 공격자가 ‘/api/v1/validate/code’ 엔드포인트에 조작된 HTTP 요청을 보냄으로써 임의의 코드를 실행할 수 있는 방식으로 구성되어 있어, 주의가 필요합니다. 모든 사용자는 가능한 한 빨리 패치된 버전으로 업데이트해야 합니다.

여기서 새로운 내용으로 추가된 taylored NPM 패키지의 취약점이 있습니다. 최근 발견된 중요한 취약점은 CVE-XXXX-XXXX으로, 이 취약점은 Path Traversal 및 웹훅 검증 누락과 같은 문제를 통해 공격자에게 원격으로 서버 파일을 읽거나 유료 패치에 대한 무단 접근을 허용할 수 있습니다. 이 취약점은 pakage@7.0.7에서 발견되었으며, 이를 해결하기 위해서는 사용자가 즉시 버전 7.0.8로 업그레이드 해야하며, 기존 백엔드를 제거한 후 새로운 설정 파일을 생성하라는 권장 사항이 있습니다. 이로 인해 응용 프로그램의 보안 체계를 한층 강화할 수 있습니다. 이러한 대책이 매력적으로 받아들여져야 하는 이유는, 전세계적으로 많은 기업들이 이 패키지를 활용하고 있으며, 해당 취약점의 악용 가능성이 상존하기 때문입니다.

이런 대책들이 체계적으로 이루어져야만 CMS 플랫폼의 보안을 강화할 수 있습니다. 여러분의 인프라에서 이러한 취약점을 미리 예방하고 대응할 수 있는 방법을 고민하는 것이 중요합니다.

결론/요약

사이트코어 CMS의 하드코딩된 ‘b’ 비밀번호는 인증 없이 원격 코드 실행이 가능한 심각한 취약점으로, 이를 통해 공격자들은 서버를 장악할 수 있는 가능성이 큽니다. Veeam의 RCE 취약점 CVE-2025-23121은 인증된 도메인 사용자가 원격에서 악의적으로 접근할 수 있는 가능성을 제공하므로, 즉각적인 보안 업데이트가 필요합니다. 아울러, CVE-2023-0386과 같은 Linux 시스템의 취약점 또한 큰 보안 위험을 내포하고 있으며, LangSmith와 Langflow 플랫폼의 취약점 또한 데이터 보호에 대한 경각심을 불러일으킵니다. 특히, Google Chrome의 CVE-2025-2783 취약점은 Trinper 백도어를 통해 악용되고 있어, 사용자들이 지속적으로 보안 업데이트를 적용하고 경각심을 높이는 것이 필수적입니다. Microsoft Excel의 RCE 취약점 또한 심각한 위험을 안고 있어, 사용자들이 이 문제를 인식하고 즉각적으로 대응하는 것이 중요합니다. 마찬가지로, Delta Electronics의 COMMGR 인증 우회 취약점은 고위험 취약점으로, 빠른 패치 적용이 필요한 상태입니다. 동일하게, NVDebug Tool의 CVE-2025-23252와 관련된 보안 업데이트도 간과해서는 안 됩니다. SolarWindsZDI-25-407 취약점 또한 비슷한 공격 시나리오를 가진 심각한 원격 코드 실행 위협이므로, 사용자는 빠르게 패치를 적용하고 보안을 강화해야 합니다. 각 취약점에 대해 패치를 적용하고 보안을 강화하는 것이 필수적입니다. 웹 어플리케이션 보안을 강화하기 위해서는 정기적인 점검 및 종합적인 보안 전략이 꼭 필요합니다.

레퍼런스

  • ‘Sitecore CMS exploit chain starts with hardcoded ‘b’ password’,
    https://www.bleepingcomputer.com/news/security/sitecore-cms-exploit-chain-starts-with-hardcoded-b-password/
  • ‘CVE-2023-0386 정보’, https://www.cisa.gov/known-exploited-vulnerabilities-catalog?search_api_fulltext=CVE-2023-0386
  • ‘Google Chrome Zero-Day CVE-2025-2783 Exploited by TaxOff to Deploy Trinper Backdoor’,
    https://thehackernews.com/2025/06/google-chrome-zero-day-cve-2025-2783.html
  • ‘ZDI-25-398: Trend Micro Internet Security Platinum Host Service Link Following Local Privilege Escalation Vulnerability’,
    https://www.zerodayinitiative.com/advisories/ZDI-25-398/
  • ‘Veeam의 CVE-2025-23121 취약점 공지’, https://www.veeam.com/kb4743
  • ‘ZDI-25-407: SolarWinds Web Help Desk AjaxProxy Deserialization of Untrusted Data Remote Code Execution Vulnerability’,
    https://www.zerodayinitiative.com/advisories/published/
  • ‘CVE-2025-3248, NVD’, https://nvd.nist.gov/vuln/detail/CVE-2025-3248
  • ‘CVE-2025-23120 상세 정보’, https://nvd.nist.gov/vuln/detail/CVE-2025-23120
  • ‘CVE-2024-28988 상세 페이지’, https://www.zerodayinitiative.com/advisories/ZDI-25-407/
  • ‘python-a2a has a path traversal in the create_workflow function’, https://github.com/advisories/GHSA-rp38-pj7h-r8q2
  • ‘New Veeam RCE flaw lets domain users hack backup servers’, https://www.bleepingcomputer.com/news/security/new-veeam-rce-flaw-lets-domain-users-hack-backup-servers/
  • ‘Sitecore CMS flaw let attackers brute-force ‘b’ for backdoor’, https://go.theregister.com/feed/www.theregister.com/2025/06/17/sitecore_rce_vulnerabilities/
  • ‘NVIDIA NVDebug Tool – June 2025 보안 공지’, https://www.nvidia.com/en-us/security/
  • ‘NVIDIA NVDebug Tool 업데이트 세부 사항’, https://nvidia.custhelp.com/app/answers/detail/a_id/5651
  • ‘LangSmith Bug Could Expose OpenAI Keys and User Data via Malicious Agents’, https://thehackernews.com/2025/06/langchain-langsmith-bug-let-hackers.html
  • ‘CISA Adds One Known Exploited Vulnerability to Catalog’, https://www.cisa.gov/news-events/alerts/2025/06/17/cisa-adds-one-known-exploited-vulnerability-catalog’
  • ‘BOD 22-01: Reducing the Significant Risk of Known Exploited Vulnerabilities’, https://www.cisa.gov/binding-operational-directive-22-01′
  • ‘ZDI-25-397: Delta Electronics COMMGR Insufficient Randomization Authentication Bypass Vulnerability’, https://www.zerodayinitiative.com/advisories/ZDI-25-397/
  • ‘CISA Advisory on Delta Electronics COMMGR’, https://www.cisa.gov/news-events/ics-advisories/icsa-25-105-07
  • ‘Langflow Unauth RCE, GitHub Security Advisory’, https://github.com/advisories/GHSA-rvqx-wpfh-mfx7
  • ‘Langflow GitHub Issue #6911’, https://github.com/langflow-ai/langflow#6911
  • ‘Horizon3.ai 공격 연구, https://www.horizon3.ai/attack-research/disclosures/unsafe-at-any-speed-abusing-python-exec-for-unauth-rce-in-langflow-ai’
  • ‘Trend Micro Help Center’, https://helpcenter.trendmicro.com/en-us/article/TMKA-11112
  • ‘Microsoft Excel 원격 코드 실행 취약점’, https://cxsecurity.com/issue/WLB-2025060018
  • ‘SolarWinds 연례 보안 패치 노트’, https://documentation.solarwinds.com/en/success_center/whd/content/release_notes/whd_12-8-3-hotfix-3_release_notes.htm’
  • ‘Rapid7 분석 보고서’, https://www.rapid7.com/blog/post/etr-critical-veeam-backup-and-replication-cve-2025-23120/#blog-content-section
  • ‘Trend Micro Zero Day Initiative 보고서’, https://securityaffairs.com/
  • ‘OpenList (frontend) allows XSS Attacks in the built-in Markdown Viewer’, https://github.com/advisories/GHSA-2hw3-h8qx-hqqp’
  • ‘taylored NPM 패키지의 웹훅 검증 취약점’, https://github.com/advisories/GHSA-8g98-m4j9-qww5′
  • ‘New Linux Flaws Enable Full Root Access via PAM and Udisks Across Major Distributions’, https://thehackernews.com/2025/06/new-linux-flaws-enable-full-root-access.html’
나의 아이피 확인 (새창) 안전한 비밀번호 생성 (새창)