Sliver C2 Server Vulnerability Enables TCP Hijacking for Traffic Interception
Sliver C2 Server Vulnerability Enables TCP Hijacking for Traffic Interception
A significant vulnerability has been discovered in the Sliver C2 server, a popular open-source cross-platform adversary emulation.
gbhackers.com
- 취약점 개요
- 취약점 식별: CVE-2025-27090
- 영향을 받는 소프트웨어: Sliver C2 서버(버전 v1.5.26부터 v1.5.42까지 및 v1.6.0의 커밋 0f340a2 이전 버전)
- 위험성: 공격자가 TCP 연결을 하이재킹하여 트래픽을 가로채고 조작 가능
- 공격 기법: 서버 측 요청 위조(SSRF, Server-Side Request Forgery) 활용
- 취약점의 영향
- 내부 서비스 접근 가능: SSRF를 통해 네트워크 방어 체계를 우회
- 팀서버 IP 노출: 리다이렉터(redirector) 뒤에 숨겨진 팀서버 IP를 노출
- 네트워크 내 수평 이동 가능: 공격자가 C2 포트 및 스테이징 리스너 또는 스테이저 생성 바이너리에 접근 시도
- 취약점 악용 방법
- 악용 메커니즘
- 임플란트(implant) 트래픽을 스푸핑하여 팀서버가 임의의 IP 및 포트에 TCP 연결을 생성하도록 유도
- 등록 및 터널 생성 함수 활용:
registerSessionHandler,tunnelDataHandler
- 터널 생성 및 트래픽 가로채기
tunnelDataHandler함수 사용 시,CreateReverse필드를true로 설정하고 대상 IP와 포트를 지정- 이를 통해 공격자는 팀서버가 임의의 엔드포인트에 연결을 생성하도록 강제
- 이후 트래픽을 읽고 쓰며 데이터 가로채기 및 조작 가능
- 악용 메커니즘
- 보안권고
- Sliver C2 서버를 최신 패치된 버전으로 업데이트
- 보안 권고문과 패치된 릴리스는 공식 다운로드 페이지에서 제공
- 모든 영향을 받는 버전의 서버를 신속하게 업데이트
- 정기적인 보안 감사 및 업데이트를 통해 인프라 도구의 무결성 유지
- C2 서버의 접근 제어 강화 및 외부로부터의 직접적인 접속 차단
- 결론
- Sliver C2 서버의 취약점은 공격자가 TCP 트래픽을 가로채고 조작할 수 있게 하여 심각한 보안 위협을 초래
- 이러한 공격은 보안 테스트 및 모의 공격(Red Team) 활동에서 사용되는 Sliver C2의 신뢰성을 저하시킬 수 있음
- 정기적인 보안 패치와 서버 설정 강화를 통해 위험을 최소화해야 함
'Kant's IT > Vulnerability' 카테고리의 다른 글
| CISA, Adobe ColdFusion 및 Oracle Agile PLM 취약점 KEV 카탈로그에 추가 (0) | 2025.03.08 |
|---|---|
| 삼성 갤럭시 '보안 폴더' 기능의 보안 취약점 분석 (0) | 2025.03.08 |
| Parallels Desktop 0-Day 취약점, 루트 권한 상승 가능 (CVE-2024-34331) (0) | 2025.03.06 |
| Exim 메일 전송 취약점(CVE-2025-26794)으로 악성 SQL 주입 가능 (0) | 2025.03.06 |
| F5 BIG-IP 명령어 주입 취약점(CVE-2025-20029) PoC 익스플로잇 공개 (0) | 2025.03.06 |