📌 TL;DR: 중국 해커가 Ivanti 보안장비 취약점으로 침투 중!
🧩 어떤 취약점이야?
Ivanti의 Connect Secure, Policy Secure, ZTA Gateway 제품에서 발견된
CVE-2025-22457 취약점은 버퍼 오버플로우(Buffer Overflow) 문제예요.
처음엔 단순한 DoS(서비스 거부)로 보였지만…
알고 보니 공격자가 원격 코드 실행(RCE) 까지 가능했어요 😱
- 영향받는 버전:
- Ivanti Connect Secure 22.7R2.5 이하
- Pulse Connect Secure 9.x (지원 종료됨)
- 일부 Policy Secure, ZTA 게이트웨이
🧪 어떻게 악용되고 있어?
Ivanti가 처음엔 “낮은 위험도”라고 판단했지만,
Mandiant와 공동조사 후 공격자가 고도화된 방법으로 RCE에 성공한 걸 확인했어요.
이건 단순한 버퍼 문제를 넘어서, 진짜 정교한 무기화(Weaponization) 사례였죠.
공격 흐름 요약:
- 공격자는 CVE-2025-22457을 악용해 장비에 접근
- 🐍 메모리 내 드로퍼인 Trailblaze를 심음
- 🛠 백도어인 Brushfire를 설치해 장기적인 침투 가능
- 💣 추가 악성 툴 (Spawnsloth, Spawnsnare 등)도 설치
🧠 공격자는 누구?
바로 중국과 연관된 APT 그룹 UNC5221이에요.
이 그룹은 최근에도 Ivanti의 다른 제로데이(CVE-2025-0282, CVE-2025-0283)를 악용했는데,
이번엔 또 다른 방식으로 침입했죠.
이들은 특히 국가 기반 사이버 첩보전에서 자주 등장하는 조직이에요.
🔍 취약점 악용 예시 코드 (개념)
# 실제 PoC는 공개되진 않았지만,
# 유사한 취약점에서 흔히 사용하는 버퍼 오버플로우 구조 예시입니다.
payload = "A" * 2048 # 크기를 초과하는 입력으로 버퍼 넘침 유도
request = f"GET /?input={payload} HTTP/1.1\r\nHost: target\r\n\r\n"
# 전송
with socket.socket(socket.AF_INET, socket.SOCK_STREAM) as s:
s.connect(("target.com", 443))
s.sendall(request.encode())※ 실제 공격은 훨씬 정교하고, 메모리 내 쉘코드 삽입과 악성 RMM 툴 사용까지 포함됩니다.
🔧 대응 방법은?
- Connect Secure 사용자라면 즉시 22.7R2.6으로 업그레이드하세요!
- 이미 침해된 경우:
- 장비 공장 초기화 후 최신 패치 버전으로 재설정
- Pulse Connect Secure 9.x 사용자라면:
- 지원 종료 제품이므로 신속한 업그레이드 필요
🚨 또한 Ivanti는 Policy Secure 패치를 4월 21일, ZTA 게이트웨이 패치를 4월 19일 자동 배포할 예정이에요.
🧭 정리하며
Ivanti 같은 엣지 장비(VPN, 게이트웨이) 는 공격자에게 너무 매력적인 타깃이에요.
이번 사례처럼 평범해 보이는 버그도 정교한 APT 그룹의 손에선 무기가 될 수 있다는 사실, 꼭 기억하세요.
🔐 "방화벽 뒤라고 안심 말고, 엣지 장비부터 지키자!" 🔒
'CyberSecurity > Security🔐' 카테고리의 다른 글
| 🕵️♂️ ‘Fast Flux’ 다시 부상? 오래된 DNS 악용 수법이 여전히 위협적인 이유 (0) | 2025.04.05 |
|---|---|
| 💥 메두사 랜섬웨어의 변신: 서비스형 랜섬웨어(RaaS)로 기업을 노린다 (0) | 2025.04.05 |
| 🚨 아무것도 누르지 않았는데? Google Quick Share의 무서운 취약점 (3) | 2025.04.04 |
| 🚨 SolarWinds, AI 기반 'Squadcast'로 인시던트 대응 대폭 강화! (0) | 2025.04.04 |
| 🔥 비싼 게 다가 아니다? 클라우드 방화벽의 충격적인 성능 테스트 결과! (0) | 2025.04.03 |