PoC Exploit Released for Ivanti Connect Secure RCE Vulnerability
PoC Exploit Released for Ivanti Connect Secure RCE Vulnerability
A serious security flaw has been identified in Ivanti Connect Secure, designated as CVE-2025-0282, which enables remote unauthenticated attackers to execute arbitrary code.
gbhackers.com
- 취약점 개요
- CVE-2025-0282: Ivanti Connect Secure 제품에서 발견된 스택 기반 버퍼 오버플로우(Stack-Based Buffer Overflow) 취약점
- 원격 공격자가 인증 없이 임의 코드 실행 가능(RCE, Remote Code Execution)
- 버전 22.7R2.5 이전 버전이 영향을 받음
- CVSS 9.0(심각)으로 평가되며, 공격 성공 시 네트워크를 통해 높은 권한 획득 가능
- 기술적 분석
- 취약점은 IF-T/TLS 프로토콜 핸들러에서 발생하며, HTTPS 웹 서버(TCP 포트 443)를 통해 악용 가능
- 공격자는 ASLR(Address Space Layout Randomization) 우회를 시도하며, 특정 라이브러리의 베이스 주소를 추정해 공격을 성공시킴
- PoC(개념 증명) 익스플로잇이 2025년 1월 10일 watchTowr 보안업체에 의해 공개됨
- 이 취약점과 함께 로컬 권한 상승 취약점(CVE-2025-0283)도 패치가 배포되었으나, 아직 실제 공격 사례는 확인되지 않음
- PoC 익스플로잇 공개 및 실행 예제
- PoC 스크립트(CVE-2025-0282.rb)가 공개되어 취약한 인스턴스를 공격하는 데 사용 가능
- 예제 실행 방법
ruby CVE-2025-0282.rb -t 192.168.86.111 -p 443 - 익스플로잇이 성공하면
/var/tmp/디렉터리에 특정 파일이 생성됨 - 실행 예제
bash-4.2# ls -al /var/tmp/hax* -rw-r--r-- 1 nr nr 0 Jan 16 07:10 /var/tmp/haxor_191
- 보안 권고
- 보안 패치 적용: Ivanti가 제공하는 최신 보안 업데이트 즉시 적용
- 네트워크 모니터링 강화: 시스템에서 비정상적인 트래픽 및 침해 지표(IOC) 탐지
- PoC 익스플로잇 실행 탐지:
/var/tmp/등의 디렉터리에서 의심스러운 파일 및 프로세스 모니터링 - 공격 벡터 차단: TCP 443 포트 접근 통제 강화 및 VPN 및 방화벽 규칙 점검
- 결론
- 공격자가 인증 없이 원격 코드 실행이 가능한 심각한 취약점
- PoC 익스플로잇이 공개됨에 따라 실질적인 위협 발생 가능성 증가
- 즉각적인 패치 적용 및 보안 모니터링 강화 필요
- 기업 및 기관은 위협 인텔리전스를 활용해 보안 사고 발생을 사전 예방해야 함
'Kant's IT > Vulnerability' 카테고리의 다른 글
| WGS-804HPT 스위치의 치명적 취약점: 원격 코드 실행(RCE) 및 네트워크 침해 가능성 (0) | 2025.02.02 |
|---|---|
| Active Directory NTLMv1 우회 취약점 및 대응 방안 (0) | 2025.02.02 |
| CISA, Aviatrix Controllers OS 명령어 삽입 취약점 경고 (CVE-2024-50603) (0) | 2025.02.02 |
| 오라클, 2025년 1월 패치로 318개의 취약점 해결 (0) | 2025.02.01 |
| 7-Zip 취약점, Windows 보안 기능 우회 가능성 (0) | 2025.02.01 |