OWASP는 가상 패치를 ‘알려진 취약점을 악용하지 못하게 하는 보안 정책 시행 계층’이라고 정의합니다. Cato는 Cato 단일 패스 클라우드 엔진(SPACE)의 IPS 계층을 통해 가상 패치합니다. Cato 전문가는 새로운 IPS 규칙을 배포하여 새로운 CVE에 신속히 대응하며, 고객사는 별도의 조치를 취하지 않아도 됩니다.
Name
CVE
Severity Score
Detect to Protect
Description
CVE-2024-9474는 PAN-OS 장치 관리 웹 인터페이스의 권한 상승 취약점입니다. 인증되지 않은 원격 공격자는 CVE-2024-0012와 CVE-2024-9474를 연결하여 취약한 PAN-OS 장치에서 루트 권한을 얻어 명령을 실행합니다.
Detection
2024년 11월 18일
Opt-in Protection
0 * 일반 서명 원인
Global Protection
0 * 일반 서명 원인
Name
CVE
Severity Score
Detect to Protect
Description
SolarWinds Serv-U 디렉터리 접근 공격 호스트 컴퓨터에서 중요한 파일을 읽을 수 있도록 액세스 허용
Detection
2024년 6월 7일 오후 11:00
Opt-in Protection
0 * 일반 서명 원인
Global Protection
0 * 일반 서명 원인
Name
CVE
Severity Score
Detect to Protect
Description
ConnectWise ScreenConnect 23.9.7 및 이전 버전은 대체 경로 또는 채널을 사용하는 인증 우회 취약점의 영향으로 공격자는 기밀 정보 또는 중요 시스템에 직접 액세스할 수 있습니다.
Detection
2024년 2월 21일
Opt-in Protection
2024년 2월 23일 오전 10:45 UTC
Global Protection
2024년 2월 25일 오전 09:00 UTC
Name
CVE
Severity Score
Detect to Protect
Description
Jenkins 2.441 및 이전 버전, LTS 2.426.2 및 이전 버전은 인수에서 파일 경로 뒤에 '@' 문자를 해당 파일의 내용으로 바꾸는 CLI 명령 파서의 기능이 비활성화되지 않아 인증되지 않은 공격자가 Jenkins 컨트롤러 파일 시스템에서 임의의 파일을 읽을 수 있습니다.
Detection
2024년 1월 27일
Opt-in Protection
2024년 1월 28일 오후 9:50
Global Protection
2024년 1월 29일 오후 5:30
Name
CVE
Severity Score
Detect to Protect
Description
인증되지 않은 공격자가 템플릿 삽입을 통해 RCE 액세스 권한을 얻을 수 있는 Atlassian Confluence 서버 및 데이터 센터의 원격 코드 실행 취약점입니다.
Detection
2024년 1월 22일
Opt-in Protection
2024년 1월 22일 오후 7:00 UTC
Global Protection
2024년 1월 23일 오전 11:00 UTC
Name
CVE
Severity Score
Detect to Protect
Description
Apache Struts 2 웹 프레임워크에서 결함이 있는 파일 업로드 로직을 통해 원격으로 코드를 실행하면 임의의 파일을 업로드하고 코드를 실행할 수 있습니다.
Detection
POC 사용 가능 – 2023년 12월 12일
Opt-in Protection
2023년 12월 12일
Global Protection
2023년 12월 13일
Name
CVE
Severity Score
Detect to Protect
Description
IOS XE와 HTTP 웹 UI 기능이 실행 중이며 인터넷에 연결된 Cisco 장치에서 권한 상승 취약점이 발생할 수 있습니다
Detection
POC 사용 가능 – 2023년 10월 30일 20:30 UTC
Opt-in Protection
2023년 10월 31일 오후 8:00 UTC
Global Protection
2023년 11월 1일 오후 8:00 UTC
Name
CVE
Severity Score
Detect to Protect
Description
SOCKS5 프록시 핸드셰이크 중 호스트 이름 확인에서 힙 버퍼 오버플로 취약점으로 인해 취약한 libcurl이 구현되어 악성 코드가 실행될 수 있습니다
Detection
2023년 10월 11일 오전 6:30 UTC
Opt-in Protection
2023년 10월 11일 오후 8:00 UTC
Global Protection
2023년 10월 12일 오전 9:30 UTC
Name
CVE
Severity Score
Detect to Protect
Description
공격자가 취약한 엔드포인트를 악용하여 무단으로 관리자를 생성하여 서버 액세스 권한을 획득할 수 있는 Atlassian Confluence 서버 및 데이터 센터의 온프레미스 버전의 권한 상승 취약점입니다.
Detection
2023년 10월 4일 오후 1:00 UTC
Opt-in Protection
2023년 10월 5일 오전 11:00 UTC
Global Protection
2023년 10월 6일 오전 12:00 UTC
Name
CVE
Severity Score
Detect to Protect
Description
관리형 파일 전송(MFT) 솔루션인 InProgress의 MOVEit Transfer의 SQLi는 공격자가 SQL 명령을 실행할 수 있게 해주며, 이로 인해 RCE를 허용하는 전용 백도어가 설치될 수 있습니다.
Detection
2023년 6월 6일 오전 8:00
Opt-in Protection
2023년 6월 8일 오후 4:30
Global Protection
2023년 6월 9일 오후 2:00
Name
CVE
Severity Score
Detect to Protect
Description
Microsoft Outlook 권한 상승 취약점 * 소요 시간 없음: Cato 방화벽은 아웃바운드 SMB 트래픽을 기본적으로 차단합니다
Detection
2023년 3월 3일 오전 8:02
Opt-in Protection
2023년 3월 3일 오전 8:02
Global Protection
2023년 3월 3일 오전 8:02
Name
CVE
Severity Score
Detect to Protect
Description
ProxyNotShell 익스플로잇 체인의 일부인 MS Exchange 일부 버전은 RCE(원격 코드 실행)에 취약합니다.
Detection
2022년 12월 21일 오후 5:00
Opt-in Protection
2022년 12월 21일 오후 11:29
Global Protection
2022년 12월 22일 오후 4:45
Name
CVE
Severity Score
Detect to Protect
Description
Microsoft Exchange Server 권한 상승 취약점
Detection
2022년 9월 30일 오후 1:19
Opt-in Protection
2022년 9월 30일 오후 11:25
Global Protection
2022년 10월 2일 오후 12:40
Name
CVE
Severity Score
Detect to Protect
Description
Microsoft Windows 지원 진단 도구(MSDT) 원격 코드 실행 취약점
Detection
2022년 8월 10일 오전 11:22
Opt-in Protection
2022년 8월 11일 오후 6:38
Global Protection
2022년 8월 12일 오후 4:16
Name
CVE
Severity Score
Detect to Protect
Description
Apache Spark UI는 구성 옵션 spark.acls.enable을 통해 ACLs를 활성화할 수 있는 가능성을 제공합니다. 인증 필터를 사용하면 사용자에게 애플리케이션을 보거나 수정할 수 있는 액세스 권한이 있는지 확인할 수 있습니다. ACLs가 활성화되어 있는 경우, HttpSecurityFilter의 코드 경로를 통해 누군가 임의의 사용자 이름으로 사칭할 수 있습니다. 이 경우 악의적인 사용자가 권한 확인 기능에 접근하여 입력 내용을 기반으로 Unix 셸 명령어를 작성하고 실행할 수 있습니다. 이렇게 되면 현재 사용자가 Spark를 실행한 것처럼 임의의 셸 명령이 실행됩니다
Detection
2022년 7월 19일 오전 10:06
Opt-in Protection
2022년 7월 19일 오후 7:25
Global Protection
2022년 7월 20일 오후 5:23
Name
CVE
Severity Score
Detect to Protect
Description
Microsoft Windows 지원 진단 도구(MSDT) 원격 코드 실행 취약점
Detection
2022년 5월 31일 오전 8:43
Opt-in Protection
2022년 5월 31일 오후 10:06
Global Protection
2022년 6월 1일 오후 5:00
Name
CVE
Severity Score
Detect to Protect
Description
Spring Cloud Function 버전 3.1.6, 3.2.2 및 이전 미지원 버전에서는 라우팅 기능을 사용할 때 사용자가 특수하게 제작된 SpEL를 라우팅 표현식으로 제공하여 원격 코드를 실행하고 로컬 리소스에 액세스할 수 있습니다.
Detection
2022년 3월 30일 오후 6:00
Opt-in Protection
2022년 3월 30일 오후 11:09
Global Protection
2022년 4월 1일 오후 7:54
Name
CVE
Severity Score
Detect to Protect
Description
Apache Log4j2 2.0-beta9 through 2.15.0 (excluding security releases 2.12.2, 2.12.3, and 2.3.1) JNDI features used in configuration, log messages, and parameters do not protect against attacker controlled LDAP and other JNDI related endpoints. An attacker who can control log messages or log message parameters can execute arbitrary code loaded from LDAP servers when message lookup substitution is enabled
Detection
Dec 10th, 2021 at 8:45 PM
Opt-in Protection
December 11, 2021 at 3:16 AM
Global Protection
December 11, 2021 at 1:47 PM
Name
CVE
Severity Score
Detect to Protect
Description
A flaw was found in a change made to path normalization in Apache HTTP Server 2.4.49. An attacker could use a path traversal attack to map URLs to files outside the directories configured by Alias-like directives. If files outside of these directories are not protected by the usual default configuration "require all denied", these requests can succeed. If CGI scripts are also enabled for these aliased pathes, this could allow for remote code execution
Detection
Oct 6th, 2021 at 7:19 AM
Opt-in Protection
October 7, 2021 at 2:01 PM
Global Protection
October 8, 2021 at 12:05 AM
Name
CVE
Severity Score
Detect to Protect
Name
CVE
Severity Score
Detect to Protect
Description
The vCenter Server contains an arbitrary file upload vulnerability in the Analytics service. A malicious actor with network access to port 443 on vCenter Server may exploit this issue to execute code on vCenter Server by uploading a specially crafted file
Detection
Sep 23rd, 2021 at 8:36 AM
Opt-in Protection
September 23, 2021 at 6:23 PM
Global Protection
September 26, 2021 at 6:37 PM
Name
CVE
Severity Score
Detect to Protect
Description
Windows Print Spooler Elevation of Privilege Vulnerability
Detection
Jul 5th, 2021 at 12:16 PM
Opt-in Protection
July 11, 2021 at 10:52 AM
Global Protection
July 11, 2021 at 6:44 PM
Name
CVE
Severity Score
Detect to Protect
Description
The vSphere Client (HTML5) contains a remote code execution vulnerability due to lack of input validation in the Virtual SAN Health Check plug-in which is enabled by default in vCenter Server. A malicious actor with network access to port 443 may exploit this issue to execute commands with unrestricted privileges on the underlying operating system that hosts vCenter Server
Detection
May 31, 2021 at 10:55 AM
Opt-in Protection
June 1, 2021 at 9:47 PM
Global Protection
June 3, 2021 at 10:24 PM
Name
CVE
Severity Score
Detect to Protect
Description
On specific versions of BIG-IP and BIG-IQ , the iControl REST interface has an unauthenticated remote command execution vulnerability
Detection
Mar 20th, 2021 at 11:43 PM
Opt-in Protection
Mar 23rd, 2021 at 12:12 PM
Global Protection
March 23, 2021 at 7:21 PM
Name
CVE
Severity Score
Detect to Protect
Description
Microsoft Exchange Server Remote Code Execution Vulnerability
Detection
March 3, 2021 at 11:03 AM
Opt-in Protection
March 4, 2021 at 10:48 PM
Global Protection
March 7, 2021 at 1:26 PM
Name
CVE
Severity Score
Detect to Protect
Description
The vSphere Client (HTML5) contains a remote code execution vulnerability in a vCenter Server plugin. A malicious actor with network access to port 443 may exploit this issue to execute commands with unrestricted privileges on the underlying operating system that hosts vCenter Server.
Detection
February 25, 2021 at 10:06 AM
Opt-in Protection
February 25, 2021 at 7:16 PM
Global Protection
February 26, 2021 at 12:03 PM
새로운 CVE로부터 네트워크를 보호하는데 소요되는 프로세스, 리소스, 시간으로 많은 고객사가 어려움을 겪습니다. 이유는 다음과 같습니다.
공급업체는 CVE를 연구하고 시그니처를 개발해야 합니다.
고객사는 유지 관리 기간 이내에 시그니처를 테스트해야 합니다.
고객 테스트 시 시그니처가 트래픽을 중단시키거나 검사 성능 또는 사용자 경험에 영향을 미치지 않는지 확인해야 합니다.
테스트를 통과한 경우에만 시그니처를 활성화할 수 있습니다.
이 리소스 집약적인 프로세스로 인해 많은 고객님들이 침입 방지 시스템(IPS)을 탐지 모드로 전환하거나 최적의 보안 상태를 유지하는 데 뒤처지게 됩니다. 공격자가 오래된 취약점을 포함하여 패치되지 않은 CVE를 악용하려고 시도하기 때문에 침해 위험이 커집니다.
Cato 보안팀이 수행하는 가상 패치 프로세스는 다음 4단계로 구성되어 있습니다.
평가
CVE의 범위를 평가하고 취약점을 조사합니다. 특히, 실제로 이 CVE를 사용한 공격이 발생한 경우를 평가합니다.
어느 시스템이 영향을 받는지와 공격자가 어떻게 공격을 하는지 파악합니다.
개발
새로운 IPS 규칙을 생성하여 취약점을 가상 패치합니다.
트래픽 메타 데이타에 대한 백 테스트를 기반으로 오탐지를 제거합니다.
옵트인 보호
‘시뮬레이션 모드’에서 가상 패치를 선택적으로 배포합니다.
특정 고객에 대한 옵트인 방지를 활성화합니다.
글로벌 보호
가상 패치를 예방 모드로 전환합니다.
모든 고객과 모든 트래픽에 가상 패치를 적용합니다.
이 프로세스는 고객사의 리소스가 필요하지 않으며 고객사의 비즈니스 운영에 지장 없이 진행됩니다.