연구원들은 HashiCorp Vault와 CyberArk Conjur에서 인증 우회, 정책 검사 회피, 계정 위장을 가능하게 하는 미묘한 논리적 결함을 발견했습니다. 시스템 및 데이터에 대한 액세스를 제어하는 자격 증명을 저장하는 이러한 저장소는 디지털 인프라의 중추입니다. 손상되면 전체 인프라가 손실됩니다. 책임감 있는 공개 및 패치가 이루어졌지만, 강력한 시크릿 관리 및 접근 제어의 중요성이 부각되었습니다.
더 보기
보안 조사 회사 Xbow는 지난 90일 동안 HackerOne에 약 1060건의 취약점을 보고했습니다. 여기에는 원격 코드 실행 및 정보 유출과 같은 심각한 취약점이 포함됩니다. 또한 Palo Alto Networks의 GlobalProtect VPN에서 이전에 알려지지 않았던 취약점을 발견하여 보고했습니다. 이는 2000대 이상의 호스트에 영향을 미칩니다. 많은 취약점이 해결되었지만(130건 해결, 303건 분류), 약 45%는 여전히 패치되지 않은 상태로 남아 있으며, 보고된 취약점의 방대한 수와 영향의 심각성을 강조합니다.
더 보기
마이크로소프트는 디지털 운영 회복력 법(DORA), NIS2 지침, 사이버 회복력 법(CRA) 등 EU의 점점 더 엄격해지는 사이버 보안 규정 준수를 보장하기 위해 유럽 담당 부사장을 임명했습니다. 이 역할은 마이크로소프트의 유럽 내 준수 및 글로벌 사이버 보안 전략에 매우 중요하며, 회사가 유럽 데이터 보안 및 사이버 회복력에 중점을 두고 있음을 보여줍니다. 마이크로소프트는 자세한 내용을 공개하지 않았지만, 이러한 조치는 회사가 변화하는 글로벌 사이버 보안 환경에 적극적으로 대응하고 있음을 시사합니다.
더 보기
CISO는 특히 Google 애널리틱스를 사용할 때 제3자와의 데이터 공유와 관련된 위험을 신중하게 평가해야 합니다. 이 기사는 Google 애널리틱스가 URL에 포함된 개인 식별 정보(PII)(이름, 이메일 주소, 생년월일 등)나 양식 필드 값 등의 민감한 데이터를 의도치 않게 수집할 수 있음을 강조합니다. 이를 방지하려면 CISO는 Google 애널리틱스를 구성할 때 민감한 데이터를 포함할 수 있는 모든 쿼리 매개변수, 양식 입력, 동적 페이지 요소를 필터링해야 합니다. 그렇지 않으면 이러한 데이터가 Google 애널리틱스에 의해 추적 및 수집되어 심각한 보안 위험이 될 수 있습니다.
더 보기
미국 국토안보부(DHS)가 MITRE와의 25년 계약을 종료하면서 CVE 취약점 번호 시스템이 붕괴 직전에 놓였습니다. 이로 인해 국가 취약점 데이터베이스(NVD)에 3만 개 이상의 미처리 취약점이 누적될 것이며, 8만 개 이상의 취약점은 '연기'(완전히 분석되지 않음을 의미)되었습니다. 이 조치는 전 세계 취약점 관리에 심각한 영향을 미치고 CVE/NVD 정보에 의존하는 조직에 큰 과제를 안겨줄 것입니다. 중국과 러시아 등의 국가 취약점 데이터베이스도 영향을 받을 것입니다. 계약 종료 이유는 불분명하지만 트럼프 행정부의 정부 지출 삭감 정책과 관련이 있을 가능성이 있습니다.
더 보기