이반티 VPN 취약점 악용한 제로데이 공격 사례와 보안 대응 방안

[주의] 이반티, 커넥트 시큐어 제로데이 취약점 악용한 해킹 공격 경고 - 데일리시큐

[주의] 이반티, 커넥트 시큐어 제로데이 취약점 악용한 해킹 공격 경고 - 데일리시큐

 

Ivanti 0-Day Vulnerability Exploited in Wild-Patch Now

Ivanti 0-Day Vulnerability Exploited in Wild-Patch Now

 

“이반티 취약점 공격자, 업그레이드도 방해” - 데이터넷

“이반티 취약점 공격자, 업그레이드도 방해” - 데이터넷

 

Ivanti Releases Security Updates for Multiple Products

Ivanti Releases Security Updates for Multiple Products | CISA

 

이반티 VPN 취약점 악용한 제로데이 공격 사례 첫 확인 - 아이티데일리

이반티 VPN 취약점 악용한 제로데이 공격 사례 첫 확인 - 아이티데일리

 

• 주요 발견 사항
  • 이반티 Connect Secure VPN에서 CVE-2025-0282 및 CVE-2025-0283 취약점 확인
  • CVE-2025-0282는 인증되지 않은 원격 공격자가 원격 코드 실행을 통해 시스템을 제어 가능
  • CVE-2025-0283은 로컬 인증 사용자가 권한 상승 가능
  • 영국 노미넷(Nominet)에서 CVE-2025-0282를 활용한 네트워크 침해 첫 확인
  • 공격자는 중국 관련 스파이 그룹(UNC5337)와 연관 가능성 있음
• 취약점 세부 사항
  • CVE-2025-0282
    • 스택 기반 버퍼 오버플로우로 인해 인증되지 않은 원격 공격자가 시스템을 손상 가능
    • CVSS 점수: 9.0으로 심각도 높음
  • CVE-2025-0283
    • 로컬 인증 사용자가 시스템 권한을 상승할 수 있는 취약점
    • CVSS 점수: 7.0으로 높은 심각도
  • 취약점은 이반티 Connect Secure, Policy Secure, Neurons for ZTA 게이트웨이의 이전 버전에 영향을 미침
• 공격 기법과 위험
  • UNC5337 그룹은 새로운 악성코드(Phasejam, Dryhook)를 사용해 공격 지속
  • Phasejam은 소프트웨어 업그레이드 프로세스를 차단하며, 업그레이드가 성공한 것처럼 위장
  • 시스템 침해 흔적을 삭제하고, 로그 및 디버그 정보를 제거하여 분석을 어렵게 함
  • 공격자는 감염된 장비에서 자격증명 탈취 및 데이터 유출을 시도
• 이반티의 대응
  • 취약점 발견 후 22.7R2.5 버전으로 긴급 패치 배포
  • Integrity Checker Tool(ICT)을 통해 감염 여부 점검 가능
  • 2025년 1월 21일, Policy Secure 및 Neurons for ZTA 게이트웨이에 대한 추가 패치 예정
• 보안 권고
  • 패치 적용: 이반티가 제공한 최신 패치를 즉시 적용
  • Integrity Checker Tool 활용: 감염 장비 식별 및 초기화 후 최신 버전으로 업데이트
  • 업그레이드 검증: Phasejam과 같은 업그레이드 차단 공격을 우회하기 위해 업데이트 상태 확인
  • 로그 모니터링 및 삭제 방지: 침해 흔적이 지워지지 않도록 시스템 로그 주기적 점검
  • 네트워크 분리: 공격 탐지 시 내부 네트워크와 VPN 시스템 간 연결을 제한
• 결론
  • 제로데이 취약점은 탐지 및 패치 이전에 악용되므로 조기 대응 체계가 필수
  • VPN과 같은 핵심 네트워크 인프라의 보안 취약점은 심각한 데이터 유출로 이어질 수 있음
  • 보안 모니터링 강화와 주기적 점검을 통해 조직의 보안성을 유지해야 함
  • 글로벌 위협 행위자와의 연관성을 조사하고 정보 공유 체계를 통해 협력 강화 필요