CISA, VMware Tools 취약점 CVE-2025-41244 KEV에 추가: 긴급 보안 업데이트 필요

미국 사이버보안 및 인프라 보안국(CISA)이 VMware Aria Operations 및 VMware Tools의 심각한 취약점인 CVE-2025-41244를 알려진 악용 취약점 목록(KEV)에 추가했습니다. 이는 연방 정부 기관에 해당 취약점이 이미 악용되고 있음을 경고하고 긴급한 조치를 요구하는 것입니다. 늦어도 11월 20일까지는 반드시 패치를 적용하거나, 해당 제품 사용을 중단해야 합니다.

CVE-2025-41244 취약점 상세 분석

CVE-2025-41244는 로컬 권한 상승 취약점으로, SDMP가 활성화된 상태에서 VMware Tools가 설치된 VM에 접근 권한을 가진 악성 로컬 사용자가 루트 권한으로 상승할 수 있게 합니다. 이 취약점은 심각도가 7.8/10으로 높은 수준으로 평가되었습니다. 윈도우 32비트 사용자는 VMware Tools 12.5.4의 일부인 VMware Tools 12.4.9를 설치해야 합니다. 리눅스 사용자는 해당 리눅스 벤더에서 배포하는 open-vm-tools 버전을 통해 패치를 적용할 수 있습니다.

중국 해킹 그룹 UNC5174의 악용 사례

보안 연구원들에 따르면, 이 취약점은 이미 약 1년 전부터 중국 정부의 지원을 받는 해킹 그룹에 의해 악용되고 있었습니다. 특히 NVISO는 UNC5174라는 그룹이 2024년 10월 중순부터 이 취약점을 사용했으며, 심지어 악용 가능성을 입증하기 위한 개념 증명(POC) 코드까지 공개했다고 밝혔습니다. 구글 Mandiant에 따르면, UNC5174는 중국 국가안전부(MSS)의 의뢰를 받아 미국 방위산업체, 영국 정부 기관, 그리고 다양한 아시아 기관에 접근하려 했습니다.

과거 중국 해킹 그룹의 활동

2024년 말, 중국 정부 지원을 받는 위협 행위자들은 Ivanti Cloud Services Appliance (CSA) 장비의 여러 제로데이 취약점을 악용하여 프랑스 정부 기관과 통신, 금융, 운송 기관과 같은 다양한 상업 단체에 접근했습니다. 이 공격은 Houken이라는 그룹의 소행으로 밝혀졌으며, 연구자들은 이 그룹이 UNC5174와 많은 유사점을 가지고 있다고 주장했습니다.

결론

CVE-2025-41244 취약점은 심각한 보안 위협을 야기하며, CISA의 KEV 추가는 그 심각성을 강조합니다. 특히 연방 기관뿐만 아니라 VMware Aria Operations 및 VMware Tools를 사용하는 모든 기관은 즉시 패치를 적용하여 잠재적인 공격으로부터 시스템을 보호해야 합니다. 사이버 보안은 끊임없이 진화하는 위협에 대한 경계를 늦추지 않고 적극적으로 대응하는 것이 중요합니다.