Ivanti VPN 취약점: 알아야 할 사항
중국 국가 지원 해커들은 최근 발표된 Ivanti VPN 제품, Ivanti Connect Secure(이전의 Pulse Secure) 및 Ivanti Policy Secure 게이트웨이의 취약점을 표적으로 삼았습니다. 이러한 취약점은 CVE-2023-46805, CVE-2024-21887, CVE-2024-21888 및 CVE-2024-21893으로 보고되었습니다.
이러한 취약점을 함께 사용할 경우 무단 인증 우회 및 원격 명령 실행이 허용될 수 있습니다. Ivanti는 가장 많이 사용되는 제품 버전에 대해 이러한 취약점에 대한 패치를 발표했지만, 아직 모든 취약한 제품 버전에 대한 패치를 발표하지는 않았습니다. 이로 인해 아직 패치를 적용하지 않은 사용자의 경우 권한 상승 및 서버 측 요청 위조의 위험이 높아집니다.
아이반티 보안 조치 및 권장 사항
Unit 42®는 이러한 취약점이 발견되면 즉시 패치를 적용하고, 환경 무결성을 보장하기 위해 패치 적용 전에 시스템을 초기화하는 사전 예방적 자세를 취할 것을 권장합니다. 새로 발견된 취약점에 대응하기 위해 침해된 솔루션의 네트워크 연결을 끊으라는 CISA의 권고를 반영하고, 사용 가능하거나 향후 출시될 패치를 성실히 적용하는 것이 중요하다는 점을 강조합니다.
위협 벡터 팟캐스트의 최신 편에서는 Unit 42의 사이버 보안 전문가인 샘 루빈(Sam Rubin) 부사장 겸 글로벌 운영 책임자와 잉그리드 파커(Ingrid Parker) 인텔 대응 부서 수석 관리자가 Ivanti의 Connect Secure 및 정책 보안 제품에서 발견된 중요한 취약점에 대해 자세히 설명합니다. 취약점의 잠재적 영향, 완화 조치의 시급성, 방어 전략에 대해 살펴봅니다.
Unit 42 사고 대응 사례
CVE-2023-46805 및 CVE-2024-21887 Ivanti 취약점의 익스플로잇 캠페인은 세 차례에 걸쳐 발생했습니다.
첫 번째 물결은 적어도 2023년 12월 둘째 주부터 2024년 1월 10일까지 지속되었으며, Volexity가 이 문제에 대한 첫 번째 블로그 게시물을 발표했습니다. 이 캠페인의 공격은 표적 공격으로, 여러 개의 맞춤형 웹 셸과 측면 이동이 특징입니다. Unit 42는 이러한 캠페인에 해당하는 것으로 보이는 위협 활동에 대응했습니다.
Volexity의 블로그 게시물에서 설명한 활동과 유사하게 위협 행위자가 다음과 같은 활동을 수행하는 것을 관찰했습니다:
- 추출하기 전에 7-Zip을 사용하여 NTDS.dit를 포함한 파일 보관하기
- Windows 작업 관리자(Taskgr.exe)를 사용하여 LSASS 프로세스의 메모리 덤프 만들기
- 원격 데스크톱 프로토콜(RDP)을 통한 측면 이동
- 로그 삭제하기
두 번째 물결은 2024년 1월 10일 Volexity의 첫 번째 블로그 게시물 이후 시작되었습니다. 이 공격은 표적 공격에서 추가적인 위협 행위자에 의한 대량 악용 공격으로 전환된 것이 특징입니다.
Unit 42는 이러한 캠페인에 해당하는 것으로 보이는 위협 활동 사례에 대응했습니다. 위협 활동은 이 모든 사례에서 일관되게 나타났습니다.
위협 행위자는 네트워크 내의 다양한 사용자 및 계정의 스키마, 설정, 이름, 자격 증명이 포함된 구성 데이터를 덤프했지만 첫 번째 공격에서 발생한 사고와 같은 측면 이동은 수행하지 않았습니다.
Unit 42는 이 활동의 배후에 있는 위협 행위자들이 조직이 패치를 적용하고 완화 지침을 적용하기 전에 영향을 극대화하기 위해 더 광범위한 익스플로잇으로 초점을 옮겼을 수 있다고 생각합니다.
세 번째 물결은 2024년 1월 16일, 개념 증명(PoC) 익스플로잇이 공개되면서 시작되었습니다. 이러한 익스플로잇의 공개는 암호화폐 채굴기와 다양한 원격 모니터링 및 관리(RMM) 소프트웨어를 광범위하게 구축한 범죄 단체를 포함하여 다양한 동기와 정교함을 가진 다양한 행위자들에 의한 대량 악용을 초래합니다.
Unit 42는 공개적으로 사용 가능한 PoC 익스플로잇을 사용하는 위협 행위자의 이번 공격에 해당하는 것으로 보이는 위협 활동에 대응했습니다. 현재 해당 사건을 조사 중인 고객을 지원하고 있습니다.
포괄적인 이바나티 방어 전략
이러한 취약점이 발견됨에 따라 철저한 보안 조치와 신속한 대응 능력의 필요성이 강조되고 있습니다. 이로 인해 정교한 위협 행위자들이 악용하는 널리 사용되는 가상 사설망(VPN) 기술 내의 중요한 보안 취약점이 부각되었습니다. 이러한 취약점은 무단 액세스 및 제어를 허용하여 조직 네트워크에 심각한 위험을 초래할 수 있습니다.
다음 전략은 진화하는 사이버 위협에 맞서 강력한 보안 태세를 유지하고 민감한 정보와 중요 인프라를 보호하는 데 매우 중요합니다:
- 자산을 인벤토리화하세요: 모든 네트워크 장치, 시스템 및 소프트웨어를 카탈로그화하세요.
- 적합한 도구를 선택하세요: IT 환경의 복잡성과 대규모에 가장 적합한 취약성 검사 도구를 활용하세요.
- 취약점을 검사합니다: 정기적으로 검사를 실행하여 시스템의 보안 취약점을 파악하세요.
- 결과를 분석합니다: 검사 결과를 주의 깊게 검토하여 심각성과 잠재적 영향에 따라 취약점의 우선순위를 정하세요.
- 수정 및 패치: 확인된 취약점을 완화하기 위해 필요한 패치 또는 해결 방법을 적용하세요.
- 반복하고 검토합니다: 새로운 위협에 적응할 수 있도록 보안 상태를 모니터링하고 재평가하세요.
아이반티의 고급 신종 위협 보고서를 확인하세요:
포괄적인 사이버 보안 전략 채택
잠재적인 사이버 위협으로부터 네트워크를 보호하기 위한 중요한 조치를 취하는 것은 필수입니다. 네트워크를 보호하는 몇 가지 방법에는 애플리케이션과 VPN을 공개 인터넷에 노출되지 않도록 숨겨 공격자로부터 보호하는 방법이 있습니다. 또한 모든 인바운드 및 아웃바운드 트래픽을 철저히 검사하여 멀웨어 및 제로데이 익스플로잇과 같은 위협을 무력화해야 합니다.
네트워크 전체에 최소 권한 원칙을 적용하는 것도 중요한 단계입니다. 이렇게 하면 사용자는 자신의 역할에 필요한 리소스만 액세스할 수 있습니다. 또한 강력한 다중 인증을 사용하여 사용자 신원을 효과적으로 확인함으로써 액세스 제어를 강화해야 합니다.
사용자를 더 넓은 네트워크가 아닌 애플리케이션에 직접 연결하는 것도 권장됩니다. 이를 통해 보안 사고로 인한 잠재적 피해를 최소화할 수 있습니다. 침해된 내부자나 외부 행위자가 제기하는 위협을 식별하고 완화하려면 지속적인 모니터링을 활용하는 것도 필수적입니다.
민감한 데이터를 보호하려면 전송 중일 때와 미사용 시 모두 철저한 모니터링과 암호화를 적용해야 합니다. 디셉션 기술과 선제적 위협 헌팅을 사용하면 위협이 피해를 입히기 전에 이를 식별하고 무력화할 수 있습니다.
조직 내 보안 인식 문화를 조성하면 피싱과 같은 일반적인 공격 벡터를 방어할 수 있습니다. 평가와 시뮬레이션을 통해 보안 조치를 정기적으로 평가하면 취약점을 식별하고 해결하는 데 도움이 될 수 있습니다.
팔로알토 네트웍스 제로 트러스트 접근 방식
이러한 위협에 대응하기 위해 팔로알토 네트웍스는 애플리케이션을 직접적인 인터넷 위협에 노출시키지 않고 안전하게 세분화된 액세스를 제공하는 제로 트러스트 아키텍처의 중요성을 강조합니다. 고급 위협 방지 및 세분화 정책을 포함한 저희 솔루션은 공격 표면을 최소화하고무단 액세스를 방지하며 실시간으로 위협을탐지하고 대응하도록설계되었습니다.
