해커, 포춘 100대 기업 사용하는 이반티 VPN 취약점 연이어 노려 공격
해커, 포춘 100대 기업 사용하는 이반티 VPN 취약점 연이어 노려 공격
이반티(Ivanti)의 VPN 제품에서 지속적으로 취약점이 발견되고 있는 가운데,파급력이 큰 취약점을 3개를 연결한 공격이 포착됐다. 이반티 VPN 제품 이용자는 취약점에 노출되지 않았는지 각별히 신
www.boannews.com
[SK쉴더스] Top-CERT Trend Report - Ivanti VPN 취약점 공격 동향 및 대응방안.pdf
3.05MB
- 이반티 VPN 사용 현황
- 이반티는 전 세계 4만 5천여 곳 이상의 고객을 보유하며, 미 국방성, NASA 등 보안이 중요한 기관에서도 사용
- 포춘 100대 기업의 96% 이상이 이반티 제품을 사용하고 있으며, 국내에서도 방송사, 대학교, 공공기관을 중심으로 약 2천여 곳에서 사용
- 공격 사례
- 2024년 초부터 이반티 제품군에서 인증 우회(CVE-2023-46805), 명령어 주입(CVE-2024-21887), SSRF(CVE-2024-21893) 등의 취약점이 발견됨
- CVSS 점수: 인증 우회 8.2점, 명령어 주입 9.1점 (CRITICAL)
- 여러 공격 그룹이 3개의 치명적인 취약점을 연결하여 이반티 VPN을 공격, 피해 확산
- 공격 사례 분석
- S사: AD 서버에 침투 후 내부 정찰을 통해 데이터를 탈취
- A사: VPN 어플라이언스 설정 파일 탈취, 공격자 C&C 서버와의 통신 확인
- VPN 취약점 탐지의 어려움
- 제한적 로깅, 임베디드 시스템의 특성, Zero-Day 공격의 미탐지 등으로 인해 탐지가 어렵다는 문제
- 이반티 VPN 취약점 대응 전략
- SK쉴더스는 "제로데이와 1-day 취약점이 매년 증가하며, 이반티 VPN과 같은 어플라이언스는 지속적인 모니터링과 관리가 필요하다"고 강조
- 패치 완료 후에도 내부망 침투 여부 점검 필수
- 침해 점검 체크리스트
- 이반티 VPN 최신 버전 패치 적용 확인
- VPN 관리자 계정과 Active Directory 계정의 동일 크리덴셜 점검
- 대용량 아웃바운드 트래픽 존재 여부 확인
- 방화벽 정책 설정, 내부 서버 로그인 특이사항 점검
- 보안 장비 이벤트 및 로그 관리 점검
- 시사점
- 이반티 VPN은 보안이 중요한 기관에서 널리 사용되지만, 지속적인 취약점이 발견됨
- 제로데이 및 1-day 취약점이 증가 추세이며, 강력한 보안 프레임워크를 구축한 조직도 위협에 직면할 수 있음
- 철저한 패치 관리와 모니터링이 필수적이며, 침해 점검을 통해 내부망 보안 강화 필요
'Kant's IT > Vulnerability' 카테고리의 다른 글
| Atlassian 취약점 패치(Bamboo, Bitbucket, Confluence, Crowd) (0) | 2024.09.22 |
|---|---|
| WhatsUp Gold 원격 코드 실행(RCE) 취약점 공격 (1) | 2024.09.19 |
| Imperva Apache OFBiz 취약점(CVE-2024-45195) 대응 (1) | 2024.09.18 |
| AWS 인스턴스 메타데이터 서비스(IMDSv1) 취약점 (0) | 2024.09.18 |
| Adobe의 Acrobat 원격 코드 실행(RCE) 취약점 패치 (CVE-2024-41869) (0) | 2024.09.18 |