목차
Ivanti Connect Secure, Policy Secure
Ivanti의 Connect Secure(ICS)와 Policy Secure(IPS)에서 치명적인 취약점이 발견되었다.1
ICS VPN
Ivanti Connect Secure(ICS)는 모바일 장치에서도 인터넷을 통해 기업의 내부 네트워크에 접속할 수 있는 가상 사설망(VPN, Virtual Private Network)을 구축할 수 있는 툴이다. 이는 외부로 드러나지 않은 기업의 내부 IT 환경에 초기 접근점을 제공하기 때문에 악의적인 공격자들에게 매력적인 대상이다.
확인된 취약점
Ivanti Connect Secure, Policy Secure 에서 확인된 취약점은 다음과 같다.
- CVE-2023-46805: 인증 우회(Authentication Bypass) 취약점 (CVSS 점수: 8.2)
- CVE-2024-21887: 명령 주입(Command Injection) 취약점 (CVSS 점수: 9.1)
CVE-2023-46085 인증 우회 취약점은 공격자가 어플라이언스의 웹 컴포넌트 인증을 우회 할 수 있어, 접근이 제한된 리소스에 엑세스가 가능하다. CVE-2024-21887 명령 주입 취약점은 인증받은 관리자로서 조작된 요청을 전송해서 취약한 어플라이언스 장비에서 임의의 명령어를 실행할 수 있는 취약점이다. 이 취약점들은 각각 8.2, 9.1의 높은 위험도를 가지며, 취약점을 이용해 공격자는 기업의 내부 네트워크에 침입하거나 민감한 데이터를 탈취하는 등의 피해를 입힐 수 있다.
침해 지표 정보
Mandiant에서 취약점을 악용해 유포되고 있는 악성코드에 대한 침해지표(IoCs) 정보5를 공개했다. 공격에 사용 중인 파일들은 Zipline Passive Backdoor, Thinspool Dropper, Wirefire web shell , Lightwire Web Shell, Warpwire Harvester, PySoxy tunneler, BusyBox, Thinspool utility 8종 이다.
- Zipline Passive Backdoor: 네트워크 트래픽을 가로채거나, 파일 업로드/다운로드 및 리버스 쉘, 프록시 서버, 터널링 생성 작업이 가능한 악성코드
- Thinspool Dropper: 영구화(persistence)를 위해 취약한 Ivanti 장치에 Lightwire 웹쉘을 만드는 shell script dropper
- Wirefire web shell: 인증받지 않은 임의의 명령을 실행하거나 Payload dropping을 수행하는 Python 기반의 웹 쉘
- Lightwire web shell: 임의의 명령 실행을 위한 Perl 웹쉘
- Warpwire harverster: 로그인시 인증 정보를 C2 서버로 전송하는 자바스크립트 기반 harvesting 툴
- PySoxy tunneler: 네트워크 터널링 수행
- BusyBox: 여러 시스템 명령어가 구현된 바이너리 파일
- Thinspool utility (
sessionserver.pl): 악성코드 배포를 위해 파일 시스템을 읽기/쓰기 모드로 remount
TR;DL
Ivanti의 Connect Secure VPN 장비에서 치명적인 두 가지 취약점이 발견되었다. 위험도가 각각 8.2, 9.1이다. 이러한 취약점 CVE-2023-46805와 CVE-2024-21887이 실제 공격에 사용되고 있음이 확인되었고, 이 취약점을 이용해 공격자는 취약한 장비에서 인증을 우회하고 임의의 명령을 실행해 장치를 장악할 수 있다. 또한 공격자는 대상 기업의 내부 네트워크에 침투하거나 악성코드를 유포하는 등의 피해를 입힐 수 있다. Ivanti에서는 이 취약점들에 대해 임시 완화 조치 방안을 공개했으며, 취약점에 대한 패치를 2024년 1월과 2월에 릴리즈 할 예정이다. 피해 예방을 위해서 공개된 임시 완화 조치를 적용하고, 이후 패치 릴리즈에 따라 즉각적인 장치 업데이트가 필요하다.
참고자료
- CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways (ivanti.com)
https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US ↩︎ - CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways (ivanti.com)
https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US ↩︎ - Patch Availability 항목 참조
https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US ↩︎ - KB CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways (ivanti.com)
https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US ↩︎ - Cutting Edge: Suspected APT Targets Ivanti Connect Secure VPN in New Zero-Day Exploitation (Mandiant.com)
https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day ↩︎