Ivanti 원격 코드 실행 취약점 CVE-2025-22457 분석

Ivanti 0-Day RCE Flaw Exploitation Details Revealed

Ivanti 0-Day RCE Flaw Exploitation Details Revealed

 

• 취약점 개요
  • CVE-2025-22457은 인증되지 않은 상태에서도 원격 코드 실행(RCE)이 가능한 심각도 높은 취약점
  • Ivanti 제품군의 HTTPS 웹 서버의 스택 기반 버퍼 오버플로우 취약점으로, 공격자가 임의 코드를 실행 가능
  • 취약점은 처음에 단순 버그로 분류되었고 보안 공지 없이 조용히 패치되었으나, 중국 기반의 공격자가 이를 역공학하여 공격에 활용
• 기술적 분석
  • 영향받는 바이너리: /home/bin/web
  • 취약 함수: WebRequest::dispatchRequest
  • X-Forwarded-For HTTP 헤더에서 50자 제한 버퍼를 초과할 경우 버퍼 오버플로우 발생
  • 제한된 문자셋(숫자와 마침표)에도 불구하고 ROP(Return-Oriented Programming) 기법을 통해 코드 실행 가능
  • heap spraying 기법으로 메모리 제어 및 ASLR 우회 시도
• PoC 및 공격자 동향
  • Rapid7은 취약점 공개 후 4영업일 내 PoC(개념 증명 코드)를 완성하고 실험 환경에서 동작 확인
  • 공격자는 공유 라이브러리(libdsplibs 등)에서 gadget을 추출해 스택 피벗 및 명령 실행
  • 공격은 중국 연계 사이버 조직에 의해 실제 수행되었으며, 엔터프라이즈 환경 대상으로 정찰 및 침해 진행됨
• 영향을 받는 제품 및 버전
  • Ivanti Connect Secure: 22.7R2.6 이전 버전
  • Pulse Connect Secure: 지원 종료, Ivanti Connect Secure로의 마이그레이션 필요
  • Ivanti Policy Secure: 22.7R1.4 이전, 패치 예정일 2025년 4월 21일
  • ZTA Gateways: 22.8R2.2 이전, 패치 예정일 2025년 4월 19일**
• 보안 권고
  • 최신 패치 적용
    • Ivanti Connect Secure: 2025년 2월 11일 릴리스된 22.7R2.6로 업데이트
    • ZTA Gateways: 2025년 4월 19일 패치 예정
    • Policy Secure: 2025년 4월 21일 패치 예정
  • 제품 마이그레이션
    • Pulse Connect Secure는 EoL 제품으로, Ivanti Connect Secure로 교체 필요
  • 네트워크 분리 및 접근 제어 강화
    • Ivanti 장비에 대한 망 분리 및 접근 제한 설정 권고
  • 로그 감사 및 이상 행위 탐지
    • 웹서버 비정상 종료, X-Forwarded-For 헤더 이상값 기록 등 이상 징후 모니터링 필요
• 결론
  • CVE-2025-22457은 무결성 높은 외부 경계 장비에서의 RCE 위협을 대표하는 사례로 평가됨
  • 보안 공지 없는 '조용한 패치'는 역공학 대상이 되어 오히려 위험을 증가시키므로 공개성과 투명성 강화 필요
  • 기업은 엣지 디바이스 보안 취약점에 대해 선제적 취약점 분석 및 대응 프로세스 수립이 필요하며
  • 향후 유사한 침해를 방지하기 위해 정기적인 보안 평가 및 침해 탐지체계 고도화가 필수적임