최근 미국 사이버 보안청(CISA)이 무서운 경고를 내렸어요.
Ivanti Connect Secure(ICS) 제품에서 발견된 치명적인 취약점(CVE-2025-0282)을 악용한 공격이
본격화되고 있다는 소식인데요, 이번엔 단순한 해킹이 아니라 정교한 Resurge 악성코드가 쓰이고 있어 주의가 필요합니다. 😨
🔍 어떤 취약점이 문제가 되고 있나요?
- CVE-2025-0282
이건 Ivanti Connect Secure, Policy Secure, ZTA Gateway 제품군에서 발생하는
스택 기반 버퍼 오버플로우 취약점이에요.
쉽게 말해, 공격자가 로그인도 하지 않고 원격에서 악성 코드를 실행할 수 있는 위험한 버그예요. - CVSS 점수 9.0, 굉장히 치명적입니다.
이 취약점은 2025년 1월에 이미 CISA의 KEV(악용 중인 취약점 목록)에 올라갔고,1월 21일 패치도 배포됐어요.
하지만 아직 패치하지 않은 시스템이 여전히 많아, 공격자들이 Resurge 악성코드를 이용해 침투 중입니다.
💀 'Resurge' 악성코드, 뭐가 그렇게 위험한데?
CISA의 분석에 따르면 Resurge는 다음과 같은 기능을 갖고 있어요:
- ✅ SSH 터널 생성: 공격자와 피해 시스템 간 C2(Command & Control) 통신을 위한 백도어 생성
- ✅ 시스템 파일 변조 및 무결성 우회
- ✅ Web shell 설치: 시스템에 명령을 마음대로 실행할 수 있는 웹 기반 쉘
- ✅ Ivanti 장비의 부팅 디스크에 악성 코드 삽입
- ✅ 계정 생성 / 권한 상승 / 자격 증명 탈취
이건 단순한 정보 수집 수준이 아니라, 시스템을 완전히 장악하고, 장기적인 침투까지 가능한 구조예요. 😨
🧪 CISA가 발견한 다른 악성 파일들도 있어요!
- SpawnChimera 유사 파일: SSH 터널 기반 백도어 기능
- SpawnSloth 변종: 자세한 기능은 아직 분석 중이지만, 장기 침투 목적 가능성
- BusyBox 기반 이식형 바이너리: 다양한 유닉스 명령어를 포함한 오픈소스 툴 활용
이렇게 여러 종류의 맞춤형 악성 파일이 함께 발견됐다는 건, 단발성 공격이 아닌 조직적인 침투 행위라는 뜻이죠.
🛡️ 나도 위험할까? 어떻게 대응해야 할까?
Ivanti 제품을 사용하는 기업이라면 지금 바로 확인하고 조치해야 합니다.
🔧 CISA 및 Ivanti 권고사항:
- ✅ 모든 장비 최신 패치 적용 (특히 2025년 1월 21일 패치)
- 🔁 공장 초기화(Factory Reset) 권장
- 🗝️ 모든 사용자 및 관리자 계정 비밀번호 재설정
- 🧑💻 접근 제어 정책 재점검
- 🔍 의심스러운 계정 및 세션 모니터링
- 🛠️ Ivanti의 복구 가이드라인 준수 → [Ivanti 지원 센터에서 확인 가능]
😤 왜 아직도 이런 문제가 생기는 걸까?
사실 이런 네트워크 장비는 패치 주기가 길고, 패치 후 재부팅이나 서비스 중단이 걱정돼서
보안팀이 업데이트를 미루는 경우가 많아요.
하지만 이번처럼 CISA가 직접 경고하고 공격이 실제 발생 중이라면,
서비스 잠깐 멈추더라도 보안 패치는 필수입니다.
🧠 마무리 한 마디
Ivanti는 VPN 게이트웨이, 보안 정책 설정 등 핵심 인프라에 들어가는 장비인 만큼,
이 취약점을 방치하면 전체 네트워크가 뚫릴 위험이 있어요.
💡 “내 장비는 괜찮겠지…” 하는 방심이 가장 위험합니다.
오늘 당장 장비 상태와 패치 여부를 점검해보세요!
'CyberSecurity > Security🔐' 카테고리의 다른 글
| 👨💻 침투하는 북한 기술자들, 당신 회사에도 ‘로켓맨’이 있을 수 있다? (0) | 2025.04.01 |
|---|---|
| ☕ CoffeeLoader: 더 똑똑해진 스모크로더의 2단계 공격 무기 등장 (1) | 2025.04.01 |
| ❗ 다시 등장한 Qakbot과 'ClickFix' 공격 수법 — 이제는 캡차(CAPTCHA)까지 믿을 수 없다고? (2) | 2025.04.01 |
| 🧨 MFA도 뚫린다고? Evilginx와 AiTM 공격의 실체 (1) | 2025.03.31 |
| 🛡️ 점점 교묘해지는 사이버 공격, '공급망 보안'이 중요한 이유 (2) | 2025.03.31 |