Chinese State Hackers Main Suspect in Recent Ivanti CSA Zero-Day Attacks
- 배경
- Fortinet은 최근 Ivanti Cloud Services Application(CSA) 제품에 대한 제로데이 취약점 공격 배후에 국가 지원 해커가 있을 가능성을 제기
- Ivanti는 지난 한 달간 고객들에게 CSA 제로데이 취약점이 소수의 고객 시스템을 타겟으로 악용되고 있음을 공지
- 주요 취약점 및 공격 방법
- CVE-2024-8190
- 원격 코드 실행(RCE) 취약점
- 고급 권한이 필요하여 CVE-2024-8963, CVE-2024-9379, CVE-2024-9380과 결합해 인증 요구 사항을 충족
- 공격 경로
- 제로데이 취약점을 이용해 시스템을 장악한 후, 측면 이동, 웹 셸 배포, 정보 수집, 스캔 및 무차별 대입 공격 수행
- 프록시 트래픽을 위해 해킹된 Ivanti 장치 사용
- CSA 장치에 루트킷을 설치하여 장치가 공장 초기화될 경우에도 지속성 유지
- CVE-2024-8190
- 특이 사항
- 공격자는 CSA 취약점을 직접 패치하여 다른 해커들이 동일한 취약점을 악용하지 못하도록 방지, 자기들의 공격을 보호하는 전략
- 용의자
- Fortinet은 공격이 국가 지원에 의해 수행되었을 가능성을 언급했으나, 특정 그룹은 식별하지 않음
- UNC4841: Fortinet의 지표에 따르면 중국과 관련된 위협 그룹으로, 2023년 말 Barracuda 제품 제로데이를 악용한 바 있음
- 중국 해커: Ivanti 제품 제로데이를 악용한 사례가 다수 있으며, 이전 공격과 유사한 활동 패턴 확인
- 보안 권고
- CSA 사용자는 최신 패치 적용 및 네트워크 모니터링 강화를 통해 보안 사고 위험 완화
- Fortinet IoC 사용하여 잠재적인 침해 지표 검토 및 지속적인 보안 감시
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 5단계로 클라우드 환경에서 탐지 및 대응 강화하기 (0) | 2024.11.23 |
|---|---|
| HTTP/2: 빠르고 안전한 웹 통신의 혁신 (0) | 2024.11.23 |
| 한국은행 홈페이지 디도스 공격 및 해킹 시도 현황 (0) | 2024.11.23 |
| 자율주행 인공지능(AI) 발전을 위한 개인영상정보 보호 및 활용 기준 (0) | 2024.11.23 |
| 사이버 물리 시스템(CPS) 조직의 사이버 공격 피해와 보안 취약점 (0) | 2024.11.23 |