DevHackDebug logo

Archives

Ivanti Connect Secure VPN 취약점

Posted on - by aDHDmin

Ivanti Connect Secure, Policy Secure

Ivanti의 Connect Secure(ICS)Policy Secure(IPS)에서 치명적인 취약점이 발견되었다.1

ICS VPN

Ivanti Connect Secure(ICS)는 모바일 장치에서도 인터넷을 통해 기업의 내부 네트워크에 접속할 수 있는 가상 사설망(VPN, Virtual Private Network)을 구축할 수 있는 툴이다. 이는 외부로 드러나지 않은 기업의 내부 IT 환경에 초기 접근점을 제공하기 때문에 악의적인 공격자들에게 매력적인 대상이다.

확인된 취약점

Ivanti Connect Secure, Policy Secure 에서 확인된 취약점은 다음과 같다.

  • CVE-2023-46805: 인증 우회(Authentication Bypass) 취약점 (CVSS 점수: 8.2)
  • CVE-2024-21887: 명령 주입(Command Injection) 취약점 (CVSS 점수: 9.1)

CVE-2023-46085 인증 우회 취약점은 공격자가 어플라이언스의 웹 컴포넌트 인증을 우회 할 수 있어, 접근이 제한된 리소스에 엑세스가 가능하다. CVE-2024-21887 명령 주입 취약점은 인증받은 관리자로서 조작된 요청을 전송해서 취약한 어플라이언스 장비에서 임의의 명령어를 실행할 수 있는 취약점이다. 이 취약점들은 각각 8.2, 9.1의 높은 위험도를 가지며, 취약점을 이용해 공격자는 기업의 내부 네트워크에 침입하거나 민감한 데이터를 탈취하는 등의 피해를 입힐 수 있다.

취약 대상 및 패치

  • 취약 시스템: Ivanti에 따르면1, 9.x 부터 22.x 까지 모든 버전의 제품이 취약하다.
  • 취약점 패치
    • 각 버젼마다 패치 릴리즈 예정 일자 확인 필요3
    • 첫번째 패치는 2024년 1월 22일, 최종 패치는 2024년 2월 19일까지 제공 예정
    • Ivanti의 패치 릴리즈 전 까지 임시 완화 조치4를 적용하고, 패치가 제공되면 즉시 업데이트 할 것을 권고.

침해 지표 정보

Mandiant에서 취약점을 악용해 유포되고 있는 악성코드에 대한 침해지표(IoCs) 정보5를 공개했다. 공격에 사용 중인 파일들은 Zipline Passive Backdoor, Thinspool Dropper, Wirefire web shell , Lightwire Web Shell, Warpwire Harvester, PySoxy tunneler, BusyBox, Thinspool utility 8종 이다.

  • Zipline Passive Backdoor: 네트워크 트래픽을 가로채거나, 파일 업로드/다운로드 및 리버스 쉘, 프록시 서버, 터널링 생성 작업이 가능한 악성코드
  • Thinspool Dropper: 영구화(persistence)를 위해 취약한 Ivanti 장치에 Lightwire 웹쉘을 만드는 shell script dropper
  • Wirefire web shell: 인증받지 않은 임의의 명령을 실행하거나 Payload dropping을 수행하는 Python 기반의 웹 쉘
  • Lightwire web shell: 임의의 명령 실행을 위한 Perl 웹쉘
  • Warpwire harverster: 로그인시 인증 정보를 C2 서버로 전송하는 자바스크립트 기반 harvesting 툴
  • PySoxy tunneler: 네트워크 터널링 수행
  • BusyBox: 여러 시스템 명령어가 구현된 바이너리 파일
  • Thinspool utility (sessionserver.pl): 악성코드 배포를 위해 파일 시스템을 읽기/쓰기 모드로 remount

TR;DL

IvantiConnect Secure VPN 장비에서 치명적인 두 가지 취약점이 발견되었다. 위험도가 각각 8.2, 9.1이다. 이러한 취약점 CVE-2023-46805CVE-2024-21887이 실제 공격에 사용되고 있음이 확인되었고, 이 취약점을 이용해 공격자는 취약한 장비에서 인증을 우회하고 임의의 명령을 실행해 장치를 장악할 수 있다. 또한 공격자는 대상 기업의 내부 네트워크에 침투하거나 악성코드를 유포하는 등의 피해를 입힐 수 있다. Ivanti에서는 이 취약점들에 대해 임시 완화 조치 방안을 공개했으며, 취약점에 대한 패치를 2024년 1월과 2월에 릴리즈 할 예정이다. 피해 예방을 위해서 공개된 임시 완화 조치를 적용하고, 이후 패치 릴리즈에 따라 즉각적인 장치 업데이트가 필요하다.

참고자료

  1. CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways (ivanti.com)
    https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US ↩︎
  2. CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways (ivanti.com)
    https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US ↩︎
  3. Patch Availability 항목 참조
    https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US ↩︎
  4. KB CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways (ivanti.com)
    https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US ↩︎
  5. Cutting Edge: Suspected APT Targets Ivanti Connect Secure VPN in New Zero-Day Exploitation (Mandiant.com)
    https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day ↩︎
Exit mobile version