• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

이반티 취약점 패치 나오나 했더니 또 다른 제로데이 취약점 나타나 2024.02.01

중국의 APT 단체들이 몇 달 전부터 이반티의 제로데이를 따로 공략하고 있다는 사실이 발견됐다. 최근에는 다른 조직들도 이 공격법을 배운 듯한 모습이 나오고 있다.

[보안뉴스 = 타라 실즈 IT 칼럼니스트] 이반티(Ivanti)가 드디어 1월 10일에 발견된 취약점에 대한 패치를 배포하기 시작했다. 그런데 배포가 이뤄지기 직전부터 또 다른 제로데이 취약점 두 개가 나타나 이반티 생태계를 위험하게 하기 시작했다. 이 두 개의 취약점은 CVE-2024-21888과 CVE-2024-21893인데, 이 중 후자의 경우 이미 공격자들이 활발히 익스플로잇 하는 중이라고 한다.

[이미지 = gettyimagesbank]


패치가 나와 해결된 원래의 제로데이 취약점 두 개는 CVE-2024-21887과 CVE-2023-46805이다. 하지만 이번 패치로 취약점이 있던 모든 버전이 다뤄진 건 아니다. 즉 이 두 가지 취약점과 관련하여 나올 수 있는 패치가 더 남아있다는 뜻이다. 이반티는 원래 지난 주에 패치를 완료하겠다고 했으나 개발이 생각보다 어려워 시간 내에 내기 어려울 것 같다고 발표했었다.

그런 가운데 새로운 취약점이 두 개나 발굴되었고, 보안 업체 맨디언트(Mandiant)에 의하면 UNC5221이라고 하는 중국 APT 조직이 12월부터 이 취약점을 익스플로잇 해왔다고 경고했다. “그리고 최근 들어서는 UNC5221 외에도 여러 공격자들이 이 두 가지 취약점을 익스플로잇 하기 시작했습니다. 앞으로도 이 활동은 증가할 것으로 예상됩니다.”

그러면서 맨디언트는 공격자들이 활용하는 임플란트들도 다음과 같이 공개했다.
1) 라이트와이어(LightWire) 웹셸의 변종 : VPN 게이트웨이에 주입하는 기법의 난독화 기법을 활용
2) UNC5221의 커스텀 웹셸인 체인라인(ChainLine)과 프레임스팅(FrameSting) : 이반티 커넥트시큐어(Connect Secure) 파이선 패키지에 설치되는 백도어로, 임의 명령 실행을 가능하게 함
3) 집라인(ZipLine)이라는 백도어 : 공격자들의 C&C 서버와의 통신, 파일 업로드/다운로드, 리버스셸, 프록시서버, 서버 터널링의 기능을 탑재
4) 워프와이어(WarpWire)의 새 변종들 : 크리덴셜 탈취 기능 탑재
5) 여러 개의 오픈소스 포스트익스플로잇 도구 : 내부 네트워크 정찰, 횡적 움직임, 데이터 탈취 등 가능

보안 업체 퀄리스(Qualys)의 위협 연구 국장인 켄 던햄(Ken Dunham)은 “UNC5221처럼 국가의 지원을 받는 공격자들이 최근 이반티의 취약점들을 적극적으로 공략하고 있다”며 “이반티 사용자들이라면 이반티 생태계를 전반적으로 주시해야 할 필요가 있다”고 경고했다. “이반티는 네트워킹 및 VPN 기술을 제공하는 업체이기 때문에 공격자들이 적극 파헤칠 수밖에 없습니다. 네트워크 장비 제조사들 모두 비슷한 운명을 겪고 있죠.”

그 외에도 일부 사례에서 부시워크(Bushwalk)라는 웹셸이 발견되기도 했다. 맨디언트는 “서버의 파일을 읽고, 또 서버에 파일을 작성할 수 있게 해주는 멀웨어”라며 “고도의 표적 공격에서만 발견되고 있다”고 설명했다.

이반티가 직접 발표한 보안 권고문에 따르면 새 제로데이 취약점 두 개는 다음과 같다.
1) CVE-2024-21888 : 이반티 커넥트시큐어(Connect Secure)와 폴리시시큐어(Policy Secure)의 웹 요소에서 발견된 권한 상승 취약점으로 8.8점짜리 고위험군.
2) CVE-2024-21893 : 이반티 커넥트시큐어와 폴리시시큐어의 SAML 요소에서 발견된 SSRF 취약점으로, 8.2점짜리 고위험군.
둘 중에 익스플로잇 코드가 해커들 사이에서 돌고 있는 건 CVE-2024-21893이다.

퀄리스의 던햄은 “문제가 되고 있는 이반티 제품의 특성상 APT 단체들 외에 일반적인 해킹 단체들도 대거 익스플로잇을 시작할 것”이라고 예상하고 있다. “또한 APT 공격자들이 뭔가를 새롭게 시도하면, 그게 반드시라도 해도 될 만큼 일반 사이버 공격자들로도 퍼집니다. 이런 상황을 봤을 때도 앞으로의 상황은 예견이 가능합니다. 이반티 제로데이 취약점 네 개 모두 최대한 빠르게 패치를 해야 합니다. 이반티 측에서 발표를 하면 말이죠.”

글 : 타라 실즈(Tara Seals), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>