“패치 적용 안 하면 전체 네트워크 장악 가능”…기업·조직, 즉각 보안 점검 권고
[보안뉴스 여이레 기자] 휴렛팩커드 엔터프라이즈(HPE)는 자사 ‘인스턴트온’(Instant On) 무선 액세스 포인트 제품군에서 발견된 두 가지 보안 취약점을 수정하는 보안 업데이트를 21일(현지시간) 발표했다.
[자료: 연합뉴스]
CVE-2025-37103로 분류된 이 취약점의 CVSS 보안 심각도 점수는 최고 수준인 9.8점에 달한다. 사이버 공격자는 이를 악용해 인증 없이 원격으로 기기에 접근할 수 있으며 관리자 권한으로 전체 시스템을 제어할 수 있다.
HPE는 이날 인스턴트온 액세스 포인트에서 발견된 또 다른 취약점인 명령어 주입 취약점(CVE-2025-37102)도 함께 수정했다. 이 취약점은 CVSS 점수 7.2 등급이며, 인증된 사용자가 시스템 명령줄 인터페이스(CLI)를 통해 임의의 명령어를 루트 사용자 권한으로 실행할 수 있도록 한다.
HPE는 “두 취약점(CVE-2025-37103, CVE-2025-37102)은 연쇄적으로 조합해 악용될 수 있다”며 “공격자가 장치에 대한 관리자 권한을 얻은 후 추가적 악성 활동을 위해 시스템 내 명령어를 삽입할 수 있다”고 밝혔다.
이 보안 결함은 ‘HPE 네트워킹 인스턴트온’ 소프트웨어 버전을 3.2.1.0 이상 버전으로 업데이트하면 해결된다. ‘HPE 네트워킹 인스턴트온 스위치’와 같은 다른 장치는 영향을 받지 않는다.
이 취약점들이 실제 공격에 사용된 정황은 발견되지 않았으나 보안 전문가들은 “하드코딩된 자격 증명은 오래된 IoT 및 네트워크 장비에서 자주 발견되는 치명적 보안 문제”라며 “기업 및 조직은 이번 문제를 계기로 네트워크 기기 전반에 대한 계정 관리와 보안 설정을 다시 점검할 필요가 있다”고 강조했다.
[여이레 기자(gore@boannews.com)]
[보안뉴스 여이레 기자] 휴렛팩커드 엔터프라이즈(HPE)는 자사 ‘인스턴트온’(Instant On) 무선 액세스 포인트 제품군에서 발견된 두 가지 보안 취약점을 수정하는 보안 업데이트를 21일(현지시간) 발표했다.
[자료: 연합뉴스]
CVE-2025-37103로 분류된 이 취약점의 CVSS 보안 심각도 점수는 최고 수준인 9.8점에 달한다. 사이버 공격자는 이를 악용해 인증 없이 원격으로 기기에 접근할 수 있으며 관리자 권한으로 전체 시스템을 제어할 수 있다.
HPE는 이날 인스턴트온 액세스 포인트에서 발견된 또 다른 취약점인 명령어 주입 취약점(CVE-2025-37102)도 함께 수정했다. 이 취약점은 CVSS 점수 7.2 등급이며, 인증된 사용자가 시스템 명령줄 인터페이스(CLI)를 통해 임의의 명령어를 루트 사용자 권한으로 실행할 수 있도록 한다.
HPE는 “두 취약점(CVE-2025-37103, CVE-2025-37102)은 연쇄적으로 조합해 악용될 수 있다”며 “공격자가 장치에 대한 관리자 권한을 얻은 후 추가적 악성 활동을 위해 시스템 내 명령어를 삽입할 수 있다”고 밝혔다.
이 보안 결함은 ‘HPE 네트워킹 인스턴트온’ 소프트웨어 버전을 3.2.1.0 이상 버전으로 업데이트하면 해결된다. ‘HPE 네트워킹 인스턴트온 스위치’와 같은 다른 장치는 영향을 받지 않는다.
이 취약점들이 실제 공격에 사용된 정황은 발견되지 않았으나 보안 전문가들은 “하드코딩된 자격 증명은 오래된 IoT 및 네트워크 장비에서 자주 발견되는 치명적 보안 문제”라며 “기업 및 조직은 이번 문제를 계기로 네트워크 기기 전반에 대한 계정 관리와 보안 설정을 다시 점검할 필요가 있다”고 강조했다.
[여이레 기자(gore@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
