최근 EMC의 취약점은 디스크 백업을 위한 운영체제 ‘Data Domain OS’에 있다. EMC의 공지에 따르면 “Data Domain이 모든 사용자들이 접근 가능한 파일의 GUI를 통해 로그인한 사용자의 세션 식별자를 기록한다”고 발표했다.
 
이는 악의적인 사용자가 세션 식별자가 노출된 GUI 사용자의 계정을 가로채 사용할 수 있다는 것을 의미한다. 낮은 권한을 가진 스토리지 사용자가 높은 권한으로 로그인할 수 있다는 것을 의미하기도 한다. 현재 Data Domain OS 5.5, 5.6, 5.7 업데이트가 공개되어있다.
 
한편 VMware는 critical input validation 취약점인 ‘VMSA-2016-0007’을 가지고 있다. 원격 공격자가NSX 소프트웨어 네트워크 제품과 vCNS 보안 제품에 있는 민감한 정보에 접근할 수 있는 취약점이다. NSX Edge 6.1과 6.2, vCNS Edge 5.5에 대한 패치도 공개되어 있다.
 
저장된 Cross-site scripting 공격과 인증된 사용자 세션을 하이재킹이 가능하도록 하는
VMSA-2016-0008도 패치되었다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 HSK 외신기자> mkgil@dailysecu.com