API 커넥트 인증 우회 결함 악용...CVSS 9.8점
[보안뉴스 김형근 기자] IBM은 자사 API 관리 플랫폼 ‘API 커넥트’(API Connect)에서 인증 절차를 우회해 시스템에 무단 침입할 수 있는 초고위험 취약점을 발견, 긴급 보안 경고를 발령했다.
이 취약점은 내부 테스트 도중 발견됐으며, CVE-2025-13915로 분류됐다. API 커넥트의 인증 우회(Authentication Bypass) 결함에서 비롯된 이 취약점은 마치 건물 앞문 자물쇠가 망가진 상태와 비슷하다는 평가다.
외부 공격자는 유효한 계정 정보가 없어도 네트워크를 통해 원격 접속해 데이터를 훔치거나 설정을 변경하고 서비스를 중단시킬 수 있다.
이 취약점은 보안 공통취약점점수시스템(CVSS)에서 10점 만점에 9.8점을 받았다. 공격 기술이 크게 복잡하지 않아도 성공할 수 있고, 사용자 개입이 전혀 없어도 침해될 수 있어 최상급 위험으로 꼽혔다. API 플랫폼을 통해 연결된 모든 서비스의 통제권을 상실할 수도 있다.
영향을 받는 버전은 API 커넥트 10.0.8.0부터 10.0.8.5 버전, 10.0.11.0 버전 제품이다. IBM은 이들 버전들을 사용하는 모든 조직에 즉각 보안 패치(iFix)를 적용할 것을 권고했다.
당장 패치 적용이 어려운 경우 임시로 개발자 포털의 ‘자가 가입’ (Self-service sign-up) 기능을 비활성화할 것을 권고했다. 이 기능을 끄면 새로운 사용자의 접근이 제한되지만, 공격자가 침투할 수 있는 통로를 일시적으로 차단하는 효과가 있다.
[김형근 기자(editor@boannews.com)]
[보안뉴스 김형근 기자] IBM은 자사 API 관리 플랫폼 ‘API 커넥트’(API Connect)에서 인증 절차를 우회해 시스템에 무단 침입할 수 있는 초고위험 취약점을 발견, 긴급 보안 경고를 발령했다.
이 취약점은 내부 테스트 도중 발견됐으며, CVE-2025-13915로 분류됐다. API 커넥트의 인증 우회(Authentication Bypass) 결함에서 비롯된 이 취약점은 마치 건물 앞문 자물쇠가 망가진 상태와 비슷하다는 평가다.
외부 공격자는 유효한 계정 정보가 없어도 네트워크를 통해 원격 접속해 데이터를 훔치거나 설정을 변경하고 서비스를 중단시킬 수 있다.
이 취약점은 보안 공통취약점점수시스템(CVSS)에서 10점 만점에 9.8점을 받았다. 공격 기술이 크게 복잡하지 않아도 성공할 수 있고, 사용자 개입이 전혀 없어도 침해될 수 있어 최상급 위험으로 꼽혔다. API 플랫폼을 통해 연결된 모든 서비스의 통제권을 상실할 수도 있다.
영향을 받는 버전은 API 커넥트 10.0.8.0부터 10.0.8.5 버전, 10.0.11.0 버전 제품이다. IBM은 이들 버전들을 사용하는 모든 조직에 즉각 보안 패치(iFix)를 적용할 것을 권고했다.
당장 패치 적용이 어려운 경우 임시로 개발자 포털의 ‘자가 가입’ (Self-service sign-up) 기능을 비활성화할 것을 권고했다. 이 기능을 끄면 새로운 사용자의 접근이 제한되지만, 공격자가 침투할 수 있는 통로를 일시적으로 차단하는 효과가 있다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
