반응형
2025년 8월 12일, 엔터프라이즈 보안 솔루션을 사용하는 기업이라면 귀를 쫑긋 세울 소식이 나왔습니다.
Ivanti가 Connect Secure, Policy Secure, ZTA Gateway 제품군에 영향을 미치는 총 4개의 보안 취약점을 공개하고 긴급 보안 업데이트를 배포했는데요,
이 중 일부는 원격에서 인증 없이도 서비스 거부(DoS)를 유발할 수 있어, 보안 담당자라면 바로 패치 적용이 필요합니다.
📌 1. 어떤 제품이 영향받나?
이번 취약점들은 Ivanti의 네트워크 보안 핵심 제품군에 광범위하게 영향을 줍니다.
- Ivanti Connect Secure (ICS)
- 22.7R2.8 또는 22.8R2 미만 버전
- Ivanti Policy Secure (IPS)
- 22.7R1.5 미만 버전
- Ivanti ZTA Gateway
- 2.8R2.3-723 미만 버전
- Ivanti Neurons for Secure Access
- 22.8R1.4 미만 버전
⚠️ 2. 취약점 상세 분석
| CVE 번호 | 설명 | CVSS 점수 | CWE 분류 | 위험도 |
| CVE-2025-5456 | Buffer Over-read – 원격 비인증 DoS 가능 | 7.5 (높음) | CWE-125 | 🔴 |
| CVE-2025-5462 | Heap-based Buffer Overflow – 원격 비인증 DoS 가능 | 7.5 (높음) | CWE-122, CWE-476 | 🔴 |
| CVE-2025-5466 | XML External Entity (XXE) – 관리자 권한 필요, DoS 가능 | 4.9 (중간) | CWE-776 | 🟡 |
| CVE-2025-5468 | 심볼릭 링크 처리 취약점 – 로컬 인증 사용자 임의 파일 읽기 가능 | 5.5 (중간) | CWE-61 | 🟡 |
🛠️ 3. 기술적으로 무슨 의미인가?
🔴 CVE-2025-5456 – Buffer Over-read
- 버퍼 오버-리드란?
프로그램이 메모리에서 읽어야 할 범위를 넘어 다른 데이터를 읽어버리는 버그입니다. - 악용 시, 잘못된 메모리 접근으로 서비스 크래시 → DoS 발생
- 원격·비인증 공격 가능 → 인터넷에 노출된 장비는 특히 위험
🔴 CVE-2025-5462 – Heap-based Buffer Overflow
- 힙 기반 버퍼 오버플로우란?
동적으로 할당된 메모리(Heap)에 의도보다 더 많은 데이터를 써서 인접 메모리를 덮어쓰는 취약점입니다. - 단순 크래시뿐만 아니라, 이론적으로는 RCE(원격 코드 실행)로도 확장 가능
- 현재 Ivanti에서는 DoS 가능성만 공식 언급, 하지만 보안상 매우 높은 위험군
🟡 CVE-2025-5466 – XXE(XML External Entity)
- XML 파싱 시 외부 엔티티를 잘못 처리 → 내부 파일 접근, 서비스 중단 유발
- 관리자 계정 필요 → 공격 난이도 높지만, 내부 위협(Insider Threat) 환경에서는 주의
🟡 CVE-2025-5468 – Improper Symbolic Link Handling
- 심볼릭 링크(파일 경로 지름길) 처리 오류로, 로컬 인증 사용자가 민감한 시스템 파일 열람 가능
- 시스템 설정 파일이나 인증 정보 유출 가능성
🧩 4. 실제 공격 시나리오
원격 DoS 예시 (CVE-2025-5456)
- 공격자가 특수하게 조작한 패킷을 Ivanti 장비에 전송
- 장비가 패킷 처리 중 버퍼 범위를 잘못 읽음
- 프로세스 충돌 → VPN·ZTA 게이트웨이 서비스 중단
- 원격 근무, 외부 접속, 내부 시스템 접근이 마비
내부자 정보 유출 예시 (CVE-2025-5468)
- 내부 계정을 가진 직원이 심볼릭 링크를 생성
- /etc/passwd나 SSL 인증서 키 파일로 링크 연결
- Ivanti 프로세스가 이를 열어보고 민감 데이터 노출
🚀 5. Ivanti의 대응 & 패치 버전
- 패치 배포: 2025년 8월 2일부터 클라우드 환경 우선 적용, 이후 온프레미스 버전 릴리스
- 업데이트 권장 버전
- Connect Secure → 22.7R2.8 또는 22.8R2
- Policy Secure → 22.7R1.5
- ZTA Gateway → 2.8R2.3-723
- Neurons for Secure Access → 22.8R1.4
🛡️ 6. 방어 권고 사항
- 즉시 업데이트
- 외부 노출 장비는 우선 패치
- 공격 표면 축소
- 불필요한 관리 포트·서비스 비활성화
- 침입 탐지 로그 점검
- DoS 시도 흔적, XML 요청 기록, 심볼릭 링크 접근 로그 확인
- 네트워크 분리
- VPN·ZTA 서버를 별도 네트워크 존에 위치
📣 7. 결론
이번 Ivanti 취약점들은 “아직 악용 사례 없음”이라는 발표에도 불구하고,
원격·비인증 공격 가능한 7.5 점수대 취약점이 포함되어 있어 위험도가 높습니다.
특히 Connect Secure·ZTA Gateway 같은 VPN·원격접속 장비는 기업의 보안 관문 역할을 하므로,
패치를 늦추면 업무 마비뿐 아니라 2차 공격 위험까지 초래할 수 있습니다.
반응형
'CyberSecurity > Cyber Risk Insights🔐' 카테고리의 다른 글
| 🚨 러시아 해커 2개 그룹이 동시에 악용 중인 WinRAR 제로데이, CVE-2025-8088 분석 (6) | 2025.08.14 |
|---|---|
| 🚨 Fortinet SSL VPN, 사상 최대 무차별 대입 공격 급증! – 새로운 취약점 전조인가? (6) | 2025.08.13 |
| 🚨 APT급 기술을 쓰는 신흥 랜섬웨어 ‘Charon’ 등장! – 중동 공공·항공 산업 첫 타깃 (1) | 2025.08.13 |
| 🐍 PyPI, ZIP 파서 혼동 공격 막는다! 파이썬 생태계 보안 강화 소식 (2) | 2025.08.11 |
| 🖋️ eudcedit.exe로 UAC 우회? 윈도우 권한 상승 취약점 발견! (4) | 2025.08.11 |