Hayden

VMware NSX 환경을 운영하고 계신 분들에게 중요한 보안 업데이트 소식을 전해드립니다. 2025년 6월 4일, Broadcom(VMware)에서 NSX 플랫폼에 영향을 미치는 3개의 중요한 Stored XSS(Cross-Site Scripting) 취약점을 발표했습니다. 이번 글에서는 각 취약점의 상세한 내용과 구체적인 패치 방법을 단계별로 안내해드리겠습니다.

 

 

1. 취약점 개요 및 위험도 분석

이번에 발견된 취약점들은 모두 NSX 플랫폼의 부적절한 입력 검증(Improper Input Validation) 문제로 인해 발생하는 Stored XSS 공격에 노출되어 있습니다.

🔑 중요: 통합 패치 정보 세 개의 취약점(CVE-2025-22243, CVE-2025-22244, CVE-2025-22245)은 모두 하나의 NSX 업그레이드로 동시에 해결됩니다. 각각 별도의 패치가 필요한 것이 아니라, 최신 NSX 버전으로 업그레이드하면 세 취약점이 모두 한 번에 패치됩니다.

세 가지 취약점의 기본 정보는 다음과 같습니다:

CVE 번호 영향 구성 요소 CVSS 점수 심각도 등급
CVE-2025-22243 NSX Manager UI 7.5 Important (높음)
CVE-2025-22244 Gateway Firewall 6.9 Moderate (보통)
CVE-2025-22245 Router Port 5.9 Moderate (보통)

영향받는 제품:

  • VMware NSX 4.0.x, 4.1.x, 4.2.x 모든 버전
  • VMware Cloud Foundation 4.5.x, 5.0.x, 5.1.x, 5.2.x
  • VMware Telco Cloud Platform 2.x, 3.x

 

 

2. CVE-2025-22243: NSX Manager UI의 치명적 XSS 취약점

2-1. 취약점 상세 분석

CVE-2025-22243은 세 취약점 중 가장 높은 위험도를 가진 취약점으로, NSX Manager UI(사용자 인터페이스)에서 발생합니다. 이 취약점의 핵심 문제는 네트워크 설정 필드에서 입력값에 대한 검증이 부족하다는 점입니다.

공격 시나리오:

  1. 공격자가 네트워크 설정 수정 권한을 획득
  2. DNS 이름이나 IP 주소 설명 필드에 악성 JavaScript 코드 삽입
  3. 다른 관리자가 해당 설정을 확인할 때 스크립트가 자동 실행
  4. 세션 하이재킹, 인증 정보 탈취 등의 2차 피해 발생

2-2. 영향받는 메뉴 및 경로

  • 시스템 → 네트워킹 → 세그먼트 (System > Networking > Segments)
  • 시스템 → 네트워킹 → Tier-0 게이트웨이 (System > Networking > Tier-0 Gateways)
  • 시스템 → 네트워킹 → Tier-1 게이트웨이 (System > Networking > Tier-1 Gateways)
  • 시스템 → 인벤토리 → 그룹 (System > Inventory > Groups)

 

 

3. CVE-2025-22244: Gateway Firewall의 URL 필터링 취약점

3-1. 취약점 메커니즘

CVE-2025-22244는 Gateway Firewall의 URL 필터링 기능에서 발생하는 취약점입니다. 이 취약점은 사용자가 차단된 웹사이트에 접근할 때 표시되는 응답 페이지에서 악성 스크립트가 실행될 수 있는 문제입니다.

공격 과정:

  1. 공격자가 Gateway Firewall 설정 권한 확보
  2. URL 필터링 응답 페이지의 HTML 템플릿 수정
  3. 악성 <script> 태그나 이벤트 핸들러 속성 삽입
  4. 일반 사용자가 차단된 사이트 접속 시도
  5. 브라우저에서 NSX UI 도메인 컨텍스트로 악성 코드 실행

3-2. 설정 경로 및 대상 메뉴

  • 보안 → Gateway 방화벽 (Security > Gateway Firewall)
  • 보안 → URL 분석 (Security > URL Analysis)
  • 시스템 → 설정 → 사용자 정의 응답 페이지 (System > Configuration > Custom Response Pages)

 

 

4. CVE-2025-22245: Router Port 관리 인터페이스 취약점

4-1. 취약점 특성

CVE-2025-22245는 Router Port 관리 인터페이스에서 발생하는 취약점으로, 포트 설명 필드의 부적절한 입력 검증이 원인입니다.

공격 벡터:

  1. Router Port 생성/수정 권한을 가진 공격자
  2. 포트 설명 필드에 악성 스크립트 코드 삽입
  3. 다른 사용자가 해당 포트 정보에 접근할 때 코드 실행
  4. 관리자 세션에서 권한 상승 공격 시도

4-2. 영향받는 설정 영역

  • 네트워킹 → 연결성 → 세그먼트 (Networking > Connectivity > Segments)
  • 네트워킹 → 연결성 → Tier-0 게이트웨이 → 인터페이스 (Networking > Connectivity > Tier-0 Gateways > Interfaces)
  • 네트워킹 → 연결성 → Tier-1 게이트웨이 → 인터페이스 (Networking > Connectivity > Tier-1 Gateways > Interfaces)

 

 

5. 통합 패치 설치 방법 (3개 취약점 동시 해결)

💡 핵심 포인트: 하나의 업그레이드로 모든 취약점 해결

다시 한번 강조드리면, CVE-2025-22243, CVE-2025-22244, CVE-2025-22245 세 개의 취약점은 모두 하나의 NSX 업그레이드 과정으로 동시에 해결됩니다. 각 취약점별로 별도의 패치나 설정 변경이 필요하지 않습니다.

Broadcom의 공식 응답 매트릭스(Response Matrix)에 따르면, 아래 표시된 “Fixed Version”으로 업그레이드하면 세 취약점이 모두 자동으로 패치됩니다:

현재 버전 범위 통합 패치 버전 해결되는 CVE
NSX 4.2.x NSX 4.2.2.1 CVE-2025-22243, CVE-2025-22244, CVE-2025-22245
NSX 4.2.1.x NSX 4.2.1.4 CVE-2025-22243, CVE-2025-22244, CVE-2025-22245
NSX 4.1.x, 4.0.x NSX 4.1.2.6 CVE-2025-22243, CVE-2025-22244, CVE-2025-22245

5-1. 사전 준비사항

패치 설치 전 다음 사항들을 반드시 확인해주세요:

  1. 현재 NSX 버전 확인
    • NSX Manager UI → 시스템 → 지원 (System > Support)에서 버전 정보 확인
  2. 백업 생성
    • NSX Manager 설정 백업: 시스템 → 백업 및 복원 (System > Backup & Restore)
    • vCenter 스냅샷 생성 권장
  3. 유지보수 시간 계획
    • NSX Manager 업그레이드: 약 15-20분 소요
    • Edge Node 업그레이드: 노드당 15-20분 소요

5-2. 패치 버전 다운로드

다음 패치 버전 중 현재 환경에 맞는 버전을 다운로드하세요:

현재 버전 패치 버전 다운로드 링크
NSX 4.2.x NSX 4.2.2.1 Broadcom 지원 포털
NSX 4.2.1.x NSX 4.2.1.4 Broadcom 지원 포털
NSX 4.1.x, 4.0.x NSX 4.1.2.6 Broadcom 지원 포털

다운로드 파일:

  • 업그레이드 번들: VMware-NSX-upgrade-bundle-{version}.mub (약 8GB)
  • 사전 검사 파일: VMware-NSX-upgrade-bundle-{version}-pre-check.pub

5-3. NSX Manager를 통한 업그레이드 실행

Step 1: 업그레이드 준비 및 사전 검사

  1. NSX Manager UI 접속
    • 브라우저에서 https://nsx-manager-fqdn 접속
  2. 시스템 → 라이프사이클 관리 → 업그레이드 (System > Lifecycle Management > Upgrade) 메뉴 이동
  3. “업그레이드” 버튼 클릭
  4. 업그레이드 준비 상태 확인 (Upgrade Readiness Check)
    • “사전 검사 업그레이드 번들 업로드” 클릭
    • 다운로드한 .pub 파일 선택
    • 검사 실행 및 결과 확인

Step 2: 업그레이드 번들 업로드

  1. “업그레이드 준비” 단계에서 “다음” 클릭
  2. 메인 업그레이드 번들 업로드
    • “업그레이드 번들 업로드” 클릭
    • 다운로드한 .mub 파일 선택 (약 8GB)
    • 업로드 완료까지 대기 (네트워크 속도에 따라 10-30분 소요)

Step 3: 순차적 업그레이드 실행

업그레이드는 다음 순서로 자동 진행됩니다:

  1. 업그레이드 코디네이터 배포
    • “업그레이드 시작” 버튼 클릭
    • 코디네이터 설치 완료 대기
  2. NSX Manager 클러스터 업그레이드
    • 각 Manager 노드가 순차적으로 업그레이드
    • VIP(Virtual IP) 일시적 영향 가능성
  3. NSX Edge 노드 업그레이드
    • Edge 노드별 순차 업그레이드
    • 네트워크 서비스 일시 중단 가능
  4. ESXi 호스트 업그레이드
    • Transport Node 업그레이드
    • 호스트별 유지보수 모드 자동 진입/해제

5-4. 업그레이드 진행상황 모니터링

업그레이드 중 다음 방법으로 진행상황을 모니터링할 수 있습니다:

NSX Manager UI를 통한 모니터링:

  • 시스템 → 라이프사이클 관리 → 업그레이드 페이지에서 실시간 상태 확인

CLI를 통한 모니터링:

# NSX Manager CLI 접속
ssh admin@nsx-manager-ip

# 업그레이드 상태 확인
get upgrade status

# 업그레이드 로그 확인
get log follow file upgrade.log

 

 

6. 업그레이드 후 검증 및 확인사항

6-1. 3개 취약점 패치 적용 확인

패치 설치 완료 후 세 개의 취약점이 모두 해결되었는지 다음 방법으로 확인해주세요:

  1. 버전 정보 확인
    • NSX Manager UI → 시스템 → 지원 (System > Support)
    • 업그레이드된 버전이 다음 중 하나인지 확인:
      • NSX 4.2.2.1 이상
      • NSX 4.2.1.4 이상
      • NSX 4.1.2.6 이상
  2. 취약점 해결 상태 확인
    • 시스템 → 일반 (System > General) → 세부정보 (Details)에서 버전 정보 확인
    • 해당 버전에서는 CVE-2025-22243, CVE-2025-22244, CVE-2025-22245가 모두 해결됨
  3. 보안 상태 종합 점검 
    # NSX Manager CLI에서 확인
ssh admin@nsx-manager-ip
get version
get security-status

✅ 확인 체크리스트:

  • [ ] NSX Manager 버전이 패치 버전 이상인가?
  • [ ] NSX Edge 노드들이 모두 업그레이드되었는가?
  • [ ] Transport 노드들의 업그레이드가 완료되었는가?
  • [ ] 시스템 전반의 상태가 정상인가?

6-2. 기능 검증 테스트

  1. 네트워크 연결성 테스트
    • VM 간 통신 확인
    • 외부 네트워크 접근 테스트
  2. 방화벽 규칙 동작 확인
    • DFW(Distributed Firewall) 정책 동작 확인
    • Gateway Firewall 규칙 적용 상태 검증
  3. 로드밸런서 서비스 확인
    • LB 가상 서버 상태 점검
    • 헬스체크 정상 동작 확인

 

 

7. 추가 보안 권장사항

7-1. 접근권한 관리 강화

이번 취약점들은 모두 특정 권한을 가진 사용자에 의한 공격이므로, 다음과 같은 접근권한 관리가 중요합니다:

  1. 최소 권한 원칙 적용
    • 네트워크 설정 권한을 필요 최소한의 사용자에게만 부여
    • 정기적인 권한 검토 및 정리
  2. 다중 인증 설정
    • NSX Manager 접근 시 2FA(Two-Factor Authentication) 활성화
    • 시스템 → 사용자 관리 (System > User Management)에서 설정

7-2. 로깅 및 모니터링 강화

  1. 감사 로그 활성화
    • 시스템 → 설정 → 감사 (System > Configuration > Auditing)에서 로깅 활성화
    • 설정 변경사항 추적 강화
  2. SIEM 연동 권장
    • NSX 이벤트를 외부 SIEM 솔루션으로 전송
    • 이상 행위 패턴 자동 탐지 설정

7-3. 정기 보안 업데이트

  1. 보안 권고사항 모니터링
  2. 취약점 스캔 정기 실행
    • NSX 환경에 대한 정기적인 보안 스캔 수행
    • 제3자 보안 진단 서비스 활용 검토

 

 

8. 자주 묻는 질문 (FAQ)

Q1. 세 개의 CVE를 각각 개별적으로 패치해야 하나요?

A: 아닙니다. 하나의 NSX 업그레이드로 CVE-2025-22243, CVE-2025-22244, CVE-2025-22245가 모두 동시에 해결됩니다. 각 취약점별로 별도의 패치나 설정이 필요하지 않습니다.

Q2. 업그레이드 없이 해결할 수 있는 임시 방법(Workaround)이 있나요?

A: Broadcom 공식 문서에 따르면 모든 취약점에 대해 “Workarounds: None”으로 명시되어 있습니다. 따라서 업그레이드가 유일한 해결책입니다.

Q3. Cloud Foundation 환경에서는 어떻게 패치해야 하나요?

A: VMware Cloud Foundation 환경에서는 Async Patch 방식을 사용합니다:

  • KB 문서 88287 참조
  • VCF 라이프사이클 관리자를 통한 비동기 패치 적용

Q4. 특정 취약점만 우선적으로 해결하고 싶다면?

A: 기술적으로 불가능합니다. 세 취약점은 모두 NSX 코어 컴포넌트의 입력 검증 로직과 관련된 문제이므로, 통합 코드 수정을 통해서만 해결 가능합니다.

Q5. 업그레이드 중 서비스 영향은 어느 정도인가요?

A:

  • NSX Manager: 노드별 15-20분씩 순차 재시작 (VIP 일시 영향)
  • NSX Edge: 노드별 15-20분씩 업그레이드 (트래픽 우회 권장)
  • ESXi Hosts: 자동 유지보수 모드 진입/해제 (VM 영향 최소화)

Q6. 어떤 버전으로 업그레이드해야 하나요?

A: 현재 버전에 따라 다음과 같이 선택하세요:

  • NSX 4.2.x → NSX 4.2.2.1
  • NSX 4.2.1.x → NSX 4.2.1.4
  • NSX 4.1.x/4.0.x → NSX 4.1.2.6

 

 

VMware NSX의 3개 XSS 취약점들(CVE-2025-22243, CVE-2025-22244, CVE-2025-22245)은 네트워크 인프라의 보안에 심각한 위협이 될 수 있습니다. 다행히 하나의 통합 업그레이드로 세 취약점을 모두 해결할 수 있어 관리 복잡성이 줄어듭니다.

🔑 핵심 요약:

  • 3개 취약점 = 1번의 업그레이드로 해결
  • 각 취약점별 개별 패치 불필요
  • NSX 4.2.2.1, 4.2.1.4, 또는 4.1.2.6으로 업그레이드 시 모든 취약점 자동 해결

이번 글에서 안내한 단계별 방법을 따라 적용하시면 안전하게 해결할 수 있습니다. 특히 업그레이드 과정에서 서비스 중단을 최소화하기 위해 사전 계획과 백업을 철저히 준비하시기 바랍니다.

패치 적용 후에는 반드시 검증 테스트를 수행하여 모든 서비스가 정상적으로 동작하는지 확인해주세요. 또한 향후 유사한 보안 위협에 대비하여 접근권한 관리와 로깅 체계를 강화하는 것도 중요합니다.

혹시 패치 적용 과정에서 문제가 발생하거나 추가적인 도움이 필요하시면 Broadcom 기술 지원에 문의하시거나, NSX 커뮤니티를 통해 도움을 받으실 수 있습니다. 🙂

 

댓글 남기기