Ivanti VPN 패치 릴리즈, 취약점 추가 공개

Ivanti VPN 제품군 취약점 요약

앞서 Ivanti의 VPN 제품군에서 심각한 위험도의 제로데이 버그가 발견되었고 이에따라 긴급 대응이 필요하다는 포스트를 공유했다. 이후의 발표들에 따르면¹, Ivanti의 VPN 제품군에서 기존 발표 취약점 외에 다른 취약점이 추가로 발견되었다.² 그리고 이 취약점을 노린 공격 활동이 활발히 진행중이다. 또한 Mandiant는 이러한 일련의 공격 중 일부는 중국 정부가 배후에 있는 것으로 추정되는 해킹 그룹 UTA0178 (혹은 UNC5221)의 소행으로 추정하고있다.³

Ivanti 취약 제품군

취약점이 확인된 Ivanti의 Connect Secure VPN 과 Policy Secure 제품은 기업의 원격 접속 보안 강화 및 네트워크 접근 제어를 위한 솔루션이다.

취약 제품 버젼 정보

아래의 솔루션 제품들이 취약한 것으로 보고되었다.

Ivanti Connect Secure (9.x, 22.x)
Ivanti Policy Secure (9.x, 22.x)
Ivanti Neurons for ZTA

취약점 정보

기존 확인된 취약점 CVE-2023-46805, CVE-2024-21887 외 새로운 취약점 CVE-2024-21888, CVE-2024-21893 의 정보가 공개되었다. 새로운 취약점 역시 각각 8.8, 8.2의 높은 위험도를 가지므로 이에 대한 빠른 대응이 필요해보인다.

CVE-2023-46805: 인증 우회 및 원격 명령 실행 취약점
CVE-2024-21887: 웹 컴포넌트에서의 명령 주입 취약점
CVE-2024-21888: 웹 컴포넌트에서의 권한 상승^{(Privilege Escalation)} 취약점, CVSS 점수 8.8
CVE-2024-21893: SAML 컴포넌트에서의 서버 측 요청 위조^{(Server-Side Request Forgery)} 취약점, CVSS 점수 8.2

공격 예상 영향

이 취약점들은 공격자가 취약한 장비에서 임의의 명령 실행, 관리자 권한 획득이 가능해, 시스템을 완전히 장악하고 내부 네트워크로 침입이 가능한 취약점이다. 공격을 통해 내부 네트워크 침입 및 데이터 유출, 추가적인 악성 소프트웨어 설치, 시스템 장애 등 심각한 피해로 이어질 수 있다. CISA에서는 정부기관에 존재하는 취약한 Ivanti 장치를 네트워크에서 분리할 것을 권고⁴하기 까지 할 정도이니, 빠른 대응이 필요하다.

취약점 점검 및 대응 방안

Ivanti 제품군의 취약버젼 9.x, 22.x를 사용하고 있다면, 이번에 릴리즈된 패치를 적용해야한다⁵. 그러나 Ivanti는 우선 패치를 적용하기에 앞서, 취약 제품 기기를 공장 초기화하기를 권장하고 있다. 이미 침해당한 장치에 남아있는 악성코드 등에 의해 공격자가해당 장치에 대한 접근 지속성^{(Persistence)}을 확보할 수 없게 하기 위한 조치다.

패치 릴리즈 정보

Ivanti에서 Connect Secure 및 Policy Secure 제품군의 패치를 공개했다⁶. Ivanti의 공식 웹사이트나 고객 지원을 통해 해당 패치를 적용할 수 있다.

요약 (TL;DR)

Ivanti VPN 제품군에서 기존 발표 취약점 외 두 건의 새로운 취약점 CVE-2024-21888, CVE-2024-21893 정보가 공개되었다. 이 취약점들은 권한 상승, 서버 측 요청 위조 취약점으로, 앞의 취약점과 마찬가지로 8.8, 8,2의 높은 위험도를 갖는 취약점이다. 또한, 취약한 장치를 노린 공격이 이미 진행중이므로, 빠른 대응이 필요해 보인다. 최근 공개된 패치는 Ivanti의 홈페이지, 고객 지원을 통해 적용할 수 있다. Ivanti에서는 이번에 공개된 패치를 적용하기에 앞서, 공격자의 접근 지속성 제거를 위해 취약 장비의 공장 초기화 과정을 먼저 수행할 것을 권장하고 있다.

참고자료

Alert: Ivanti Discloses 2 New Zero-Day Flaws, One Under Active Exploitation
https://thehackernews.com/2024/01/alert-ivanti-discloses-2-new-zero-day.html ↩︎
Ivanti Releases Zero-Day Patches and Reveals Two New Bugs
https://www.infosecurity-magazine.com/news/ivanti-zeroday-patches-two-new-bugs/ ↩︎
Cutting Edge, Part 2: Investigating Ivanti Connect Secure VPN Zero-Day Exploitation
https://www.mandiant.com/resources/blog/investigating-ivanti-zero-day-exploitation ↩︎
ED 24-01: Mitigate Ivanti Connect Secure and Ivanti Policy Secure Vulnerabilities
https://www.cisa.gov/news-events/directives/ed-24-01-mitigate-ivanti-connect-secure-and-ivanti-policy-secure-vulnerabilities ↩︎
KB CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways
https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US ↩︎
Security Update for Ivanti Connect Secure and Ivanti Policy Secure Gateways
https://www.ivanti.com/blog/security-update-for-ivanti-connect-secure-and-ivanti-policy-secure-gateways ↩︎