요약 : 보안 외신 해커뉴스에 의하면 정부가 지원하는 공격 단체들이 이반티(Ivanti)의 CSA에서 발견된 취약점들을 공략하고 있다고 한다. 여기에는 제로데이 취약점도 포함되어 있는 것으로 나타났다. 현재까지 문제가 되고 있는 취약점은 크게 세 가지로, CVE-2024-8190, CVE-2024-8963, CVE-2024-9380이다. 순서 대로 7.2점짜리 명령 주입 취약점, 9.4점짜리 경로 변경 취약점, 7.2점짜리 명령 주입 취약점이다. 아직 공격자에 대해서는 알려진 바가 없으나, 기술적으로 뛰어나고 주도면밀하다는 점에서 국가의 지원을 받는 조직인 것으로 보인다고 한다.


배경 : 이반티의 또 다른 서비스인 EPM에서도 취약점이 발견됐는데, 이 취약점 역시 이 해킹 그룹이 익스플로잇 하고 있는 것으로 나타났다. 이 경우 문제가 되는 취약점은 CVE-2024-29824였다. 초고위험도의 원격 코드 실행 취약점이다. 공격자들은 CSA에 침투해 새 계정을 만들거나 임의의 명령이나 파워셸 코드를 실행하는 것으로 알려져 있다.

말말말 : “아직까지 공격자들의 정확한 동기를 알아내지 못했습니다. 다만 CSA 장비 내에서 커널 층위의 권한을 계속해서 유지하려 하는 것은 분명해 보입니다. 커널 층위의 권한을 가져가면 장비를 공장 초기화 해도 계속해서 제어할 수 있게 됩니다.” -포티넷(Fortinet)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>