• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

이반티의 VPN에서 나온 제로데이 취약점 2개, 아직 패치 없어 문제 2024.01.17

이반티의 VPN을 사용하고 있다면 반드시 알아두어야 할 사건이 생겼다. 제로데이 취약점이 2개 발굴된 것으로 다음 달까지 패치가 나오지 않을 예정이라 사용자 측에서 안전 대책을 따로 마련해야 한다. 이미 공격자들은 신나게 달려들고 있다.

[보안뉴스 문가용 기자] 이반티(Ivanti)의 VPN 인스턴스 수천 개가 지난 5일 동안 집중적으로 침해 공격에 노출됐다는 사실이 드러났다. 지난 주 공개된 제로데이 취약점들에 대한 패치가 아직까지 나오지 않았기 때문이다. 취약점 소식은 공격자들 사이에서 빠르게 퍼지고 있는데 아직 대책이 없어 문제가 심각하다.

[이미지 = gettyimagesbank]


문제의 제품은 이반티 커넥트시큐어(Ivanti Connect Secure, ICS)로, 원격에서 모바일로 기업 망에 접속해야 할 때 안전한 연결을 성립시켜준다. 모든 VPN들이 그렇듯, 이 제품도 공격자들이 꼭 공략하고 싶어하는 것 중 하나이며, 실제 많은 익스플로잇 시도가 있는 것으로 알려져 있다. 기업망으로 들어가는 게이트 역할을 하는 것이기 때문에 그럴 수밖에 없다.

그럼에도 이번 사태가 눈에 띄는 건 ICS VPN이라는 제품을 공략하려는 시도가 전 세계적으로, 단시간 안에 급증했기 때문이다. 사태가 시작된 건 1월 10일, 두 개의 새로운 취약점이 알려지면서부터였다. 보안 업체 볼렉시티(Volexity)의 회장 스티븐 아데어(Steven Adair)는 “VPN을 통과하면 기업 망에 자유롭게 접근할 수 있는 게 보통”이라며 “이런 기회를 공격자들이 잘 놓치지 않는다”고 강조한다.

이미 수천 번의 익스플로잇 시도 있어
두 개의 취약점은 다음과 같다.
1) CVE-2023-46805 : 8.2점을 기록한 인증 우회 취약점
2) CVE-2024-21887 : 9.1점을 기록한 임의 명령 실행 취약점
따로 익스플로잇 되어도 문제인데, 둘을 연쇄적으로 공략할 경우 공격자들은 더 큰 효과를 누릴 수 있게 된다고 한다.

볼렉시티는 이 두 개의 취약점을 제일 먼저 발굴해 익스플로잇 한 것이 UTA0178이라는 그룹이라고 보고 있다. UTA0178은 아직 그 정체가 정확히 밝혀지지 않았지만 대부분 중국 정부와 관련이 있는 것으로 여긴다. 이들이 위 두 가지 취약점을 익스플로잇 하기 시작한 건 이미 지난 12월부터인 것으로 추정되고 있으며, 익스플로잇 후에는 기프티드비지터(GiftedVisitor)라는 웹셸을 심었다고 한다. 여기까지의 피해를 입은 건 소수의 조직이다.

“기프티드비지터를 설치한 이후 공격자들은 여러 데이터를 수집하고 피해자들을 꾸준히 관찰합니다. 하지만 여태까지 피해를 입은 조직의 수가 너무 적어서 공격자들이 정확히 무엇을 하려는 것인지, 궁극적인 목표가 무엇인지는 알기가 힘듭니다. 정보가 더 필요합니다.”

하지만 필요한 정보를 더 수집하는 게 쉬운 일은 아닐 것으로 보인다. 왜냐하면 지난 주 이 취약점에 대한 정보가 공개된 후 전 세계적으로 수천 번의 익스플로잇 시도가 이어지고 있기 때문이다. 1월 15일 기준 인터넷에 연결된 3만 개 장비를 스캔했을 때 이미 익스플로잇 된 것으로 보이는 VPN이 최소 1700개는 발견됐다. 이 수많은 공격의 배후에 누가 있는지 확인하는 건 매우 어려운 일이 될 것이다.

이러한 상황은 UTA0178에게도 그리 좋은 소식은 아닌 것으로 보인다. 수많은 공격이 이어지니 많은 조직들이 패치를 하기 시작했고, 그렇다는 건 UTA0178도 공격을 성공시키는 게 점점 더 힘들어질 수 있다는 뜻이 되기 때문이다. 이 때문에 UTA0178은 앞으로 공격을 서둘러 진행할 수도 있고, 아예 사라질 수도 있다.

이미 감염되었다면 어떻게 해야 하는가?
아직 패치가 없기 때문에 ICS VPN을 사용하는 사람들이라면 주의를 기울여야 한다. 이반티는 CVE-2023-46805의 패치를 1월 22일에, CVE-2024-21887의 패치를 2월 19일에 배포할 계획이다. 아직 시간이 좀 남았다. 그 때까지 사용자들이 할 수 있는 일은 크게 두 가지라고 이반티는 발표했다.

“패치는 아니지만 위험 완화 대책을 이반티가 발표했습니다. 일단은 이것을 가지고 얼마 간 버틸 수 있을 것으로 보입니다. 그 다음은 ICS VPN이 침해됐을 때를 상정하여 사건 대응 계획을 미리 수립하고, 그것을 전사적으로 적용해야 합니다. 이렇게 했을 때 사고가 터진다고 하더라도 어느 정도 피해를 축소시킬 수 있을 겁니다.”

3줄 요약
1. 이반티의 인기 높은 VPN에서 제로데이 취약점 2개 발견됨.
2. 아직 패치가 없어 전 세계 해커들이 이 취약점을 바삐 공략하는 중.
3. 패치는 1월 22일과 2월 19일에 나올 것이라 그 때까지 상당한 주의가 요구됨.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>