클라우드플레어 WAF, Ivanti Sentry 명령 주입 취약점(CVE-2026-10520) 대응 룰 추가

클라우드플레어는 주간 WAF 릴리스에서 Ivanti Sentry 취약점 CVE-2026-10520 대응용 매니지드 보호 규칙을 추가했다고 밝혔다. 공개 내용에 따르면 이 취약점은 인증 이전 단계에서 악용될 수 있으며, 원격의 비인증 공격자가 시스템 명령을 실행할 수 있는 유형이다. 이번 변경에서 해당 규칙은 새 탐지로 추가됐고 동작은 로그가 아닌 차단으로 설정됐다.

이번 WAF 변경의 핵심

공개된 설명에 따르면 대상은 Ivanti Sentry의 OS 명령 주입 취약점이며, 취약점 식별자는 CVE-2026-10520이다. 클라우드플레어는 이를 막기 위한 새 매니지드 룰을 Cloudflare Managed Ruleset에 추가했다.

운영 측면에서 중요한 부분은 기본 동작 변화다. 해당 규칙은 이전 동작이 Log였고 새 동작은 Block으로 제시돼, 이미 클라우드플레어 매니지드 규칙을 사용하는 환경에서는 탐지 중심이 아니라 실제 차단 정책으로 반영되는지 확인이 필요하다.

외부 노출 Ivanti Sentry 운영 환경에서 볼 포인트

원문은 이 취약점이 사전 인증 단계에서 악용될 수 있고, 원격 비인증 공격자가 루트 권한으로 임의 명령을 실행할 수 있다고 설명한다. 따라서 인터넷에 직접 노출된 관리·접속 경로가 있다면 우선 적용 대상으로 보는 것이 합리적이다.

한국 IDC나 일본 IDC, 코로케이션 환경처럼 고객사 보안 장비 또는 애플리케이션 전달 경로 앞단에 WAF를 두는 운영에서는, 해당 장비가 실제로 클라우드플레어 보호 뒤에 위치하는지와 요청이 우회 없이 반드시 WAF를 통과하는지 점검하는 것이 중요하다. WAF 규칙이 추가돼도 우회 경로가 남아 있으면 보호 효과가 제한될 수 있다.

보안 운영자가 확인할 항목

첫째, Cloudflare Managed Ruleset 사용 여부와 해당 규칙 ID 500a90789f874345b60b0de7242fdf83의 적용 상태를 확인할 필요가 있다. 둘째, 차단 전환 이후 정상 요청 오탐 여부를 보기 위해 관련 로그와 이벤트를 함께 검토해야 한다.

셋째, Ivanti Sentry를 운영 중이라면 WAF 차단만으로 종결하지 말고 자산 식별, 외부 노출 범위, 관리 인터페이스 접근 경로를 함께 재점검하는 편이 좋다. 넷째, 프록시·로드밸런서·네트워크 ACL 구성상 특정 경로가 직접 공개돼 있지 않은지도 확인해야 한다.

핵심 포인트

• 클라우드플레어가 Ivanti Sentry의 CVE-2026-10520 대응용 새 WAF 규칙을 추가했다.
• 해당 취약점은 사전 인증 단계의 OS 명령 주입으로 설명됐다.
• 원격 비인증 공격자가 임의 명령을 루트 권한으로 실행할 수 있다고 명시됐다.
• 새 규칙은 Cloudflare Managed Ruleset에 추가됐고 동작은 Block으로 제시됐다.
• 외부 노출 환경은 WAF 적용 여부와 우회 경로 존재 여부를 함께 점검할 필요가 있다.