[기술스터디] 이반티 취약점 패치 나오나 했더니 또 다른 제로데이 취약점 나타나 - 보안뉴스

https://www.boannews.com/media/view.asp?idx=126377

이반티 취약점 패치 나오나 했더니 또 다른 제로데이 취약점 나타나

 

---

 

이반티(Ivanti, 보안솔루션 기업)가 1월 10일에 발견된 취약점에 대한 패치를 배포하기 시작했다. 그런데 배포가 이뤄지기 직전부터 또 다른 제로데이 취약점 두 개가 나타나 이반티 생태계를 위험하게 하기 시작했다. 이 두 개의 취약점은 CVE-2024-21888과 CVE-2024-21893인데, 이 중 후자의 경우 이미 공격자들이 활발히 익스플로잇 하는 중이라고 한다.

패치가 나와 해결된 원래의 제로데이 취약점 두 개는 CVE-2024-21887과 CVE-2023-46805이다. 하지만 이번 패치로 취약점이 있던 모든 버전이 다뤄진 건 아니기에 이 두 가지 취약점과 관련하여 나올 수 있는 패치가 더 남아있다.
그런 가운데 새로운 취약점이 두 개나 발굴되었고, 보안 업체 맨디언트(Mandiant)에 의하면 UNC5221이라고 하는 중국 APT 조직이 12월부터 이 취약점을 익스플로잇 해왔다고 경고했다.

그러면서 맨디언트는 공격자들이 활용하는 임플란트들도 다음과 같이 공개했다.
1) 라이트와이어(LightWire) 웹셸의 변종 : VPN 게이트웨이에 주입하는 기법의 난독화 기법을 활용
2) UNC5221의 커스텀 웹셸인 체인라인(ChainLine)과 프레임스팅(FrameSting) : 이반티 커넥트시큐어(Connect Secure) 파이선 패키지에 설치되는 백도어로, 임의 명령 실행을 가능하게 함
3) 집라인(ZipLine)이라는 백도어 : 공격자들의 C&C 서버와의 통신, 파일 업로드/다운로드, 리버스셸, 프록시서버, 서버 터널링의 기능을 탑재
4) 워프와이어(WarpWire)의 새 변종들 : 크리덴셜 탈취 기능 탑재
5) 여러 개의 오픈소스 포스트익스플로잇 도구 : 내부 네트워크 정찰, 횡적 움직임, 데이터 탈취 등 가능

이반티가 직접 발표한 보안 권고문에 따르면 새 제로데이 취약점 두 개는 다음과 같다.
1) CVE-2024-21888 : 이반티 커넥트시큐어(Connect Secure)와 폴리시시큐어(Policy Secure)의 웹 요소에서 발견된 권한 상승 취약점으로 8.8점짜리 고위험군.
2) CVE-2024-21893 : 이반티 커넥트시큐어와 폴리시시큐어의 SAML 요소에서 발견된 SSRF 취약점으로, 8.2점짜리 고위험군.

문제가 되고 있는 이반티 제품의 특성상 APT 단체들 외에 일반적인 해킹 단체들도 대거 익스플로잇을 시작할 것이라고 예상하고 있다. 또한 APT 공격자들이 뭔가를 새롭게 시도하면, 그게 반드시라도 해도 될 만큼 일반 사이버 공격자들로도 퍼집니다. 이런 상황을 봤을 때도 앞으로의 상황은 예견이 가능하기에 이반티 제로데이 취약점 네 개 모두 최대한 빠르게 패치를 해야 한다.