■ 최근 새롭게 발견된 Ivanti VPN 취약점

‍

지난 1월, Ivanti Connect Secure 제품에서 심각한 취약점이 발견됐습니다. 이 취약점은 인증 우회(CVE-2023-46805)와 명령어 주입(CVE-2024-21887)으로 공통 취약점 등급 시스템(CVSS)에서 각각 8.2(HIGH)와 9.1(CRITICAL)로 평가되었습니다. 이러한 높은 위험 등급으로 인해 취약점이 공개된 이후 해당 장비에 대한 공격 시도가 증가하는 것이 확인되었는데요. SK쉴더스의Top-CERT는 트렌드 리포트를 통해 최근 발견된 Ivanti VPN 취약점을 유형별로 분석하고 대응방안을 공유합니다.

‍

‍

취약점을 최초로 발견한 보안 연구 기관 Volexity는 2023년 12월 고객 네트워크 분석 중 Ivanti VPN 관련 제로데이 취약점 사용 정황을 포착했고, Ivanti와 협력해 해당 제로데이 취약점을 확인했습니다. 다수의 공격 그룹들은 ‘CVE-2023-46805(인증우회 취약점)’, ‘CVE-2024-21887(명령 주입 취약점)’,‘CVE-2024-21893(SSRF 취약점)’을 연결해Ivanti VPN을 공격했는데요. 정부기관, 방산업체, 금융 기관 등 전 세계에서 확인된 Ivanti VPN 취약점으로 인한 피해는 2,400여건 이상으로, 공격 파급력이 큰 이유는 VPN 장비특성으로 인해 취약점 탐지가 어렵기 때문입니다.

‍

‍

그럼, Top-CERT가 제안하는 Ivanti VPN 취약점 공격 대응 방안에 대해 자세히 알아보겠습니다.

■ Top-CERT가제안하는 Ivanti VPN 취약점 대응 방안 및 전략은?

‍

Ivanti VPN은 지난 1월부터 발견된 취약점이 지속적으로 발견되고 있어 철저한 모니터링 및 관리가 필요합니다. 보안 패치를 적용하거나 개발하는 과정에서 공격을 시도하는 해커를 대비해 지속적인 모니터링은 물론, 침투 여부를 반드시 점검해야 하는데요. Top-CERT는 기업과 기관에서 해킹 피해를 직접 점검할 수 있도록 침해사고 및 흔적 점검에 베이스로 사용한 점검 체크 리스트를 단계별로 제시했습니다.

‍

‍

① Ivanti VPN 최신 버전 패치 적용 점검

제로데이 취약점 발견 시 벤더사는 취약점 업데이트를 통해 취약점에 대응합니다. 보안 패치를 개발하는 과정에서 추가 취약점이 발견될 수도 있고 다른 취약점을 탐색하는 해커도 존재할 수 있는데요. 따라서, KISA(취약점 정보 공유), Ivanti 벤더사를 통해 지속적인 업데이트 모니터링을 통해 최신 업데이트를 반영하는 것이 중요합니다.

② Ivanti VPN/Active Directory 관리자 계정 동일 크레덴셜 점검

Ivanti VPN 과 Active Directory(AD)가 동일한 크레덴셜을 사용하는 것이 확인되었으며, 이를 이용해 내부 서버 침투와 공격이 발생했습니다. Ivanti VPN 과 AD 간 동일한 크레덴셜의 사용을 자제하고, 필수적인 경우에는 최소한의 권한만 부여해야 합니다.

③ Ivanti VPN 대용량 아웃바운드 트래픽 존재 유무 점검

Ivanti VPN을 통한 대용량 Outbound 통신이 확인되는 취약점은 단순히 VPN에 로그인해 가상 IP를 할당 받는 것이 아닌 VPN 장비 자체의 권한을 탈취해 공격을 수행하는 복잡한 유형입니다. 이러한 상황에서는 보안 장비를 활용해 대용량 아웃바운드 트래픽의 출발지, 목적지,그리고 트래픽 패턴 및 행동을 면밀히 분석해야 하는데요. 이를 통해 트래픽이 보안 정책을 준수하고 있는지 점검해야 합니다.

④ Ivanti VPN 대한 내부 방화벽 정책 설정 점검

Ivanti VPN 장비의 내부 방화벽 정책을 검토해야 합니다. 특히, “VPN 장비(Src) → 내부 인프라, 단말(Dst)”로 향하는 원격 접근 프로토콜에 대한 접근을 차단해 추가적인 취약점 발생 시 내부 네트워크로의 무단 이동을 예방할 수 있습니다.

⑤ Ivanti VPN → 내부 서버 로그인 특이사항 유무 점검

“VPN 장비(Src) → 내부 서버, 단말(Dst)”로 향하는 원격 접근 프로토콜 이력이 확인될 경우 성공, 실패, 시간대,

로그인 위치 등을 포함한 로그 데이터를 분석하여 정상 범위를 벗어난 활동을 점검해야 합니다. 또한, 비정상적인 행위로 원격 접근 프로토콜에 성공한 목적지 단말은 추가 점검을 통해 침해 시도 여부를 확인해야 합니다.

⑥ 내부 서버 ↔ 내부 서버 로그인 특이사항 유무 점검

내부 서버 간의 원격 접근 프로토콜 활동을 점검하여야 합니다. 이를 위해 로그인 시도의 성공 여부, 시간대, 로그인 위치 등 로그 데이터를 분석해 정상 활동 범위를 초과하는 이상 행위를 식별해야 하는데요. 일반적으로 관리자는 "사용자(src)에서 내부 서버(dst)"로의 원격 접근을 수행하지만, 공격자는 내부 서버 간의 방화벽 정책의 취약성을 이용해 내부 서버를 공격의 거점으로 활용합니다.

⑦ Ivanti VPN 침해지표(IP)가 탐지된 보안 장비 이벤트 점검

잠재적인 보안 위협 식별 및 추가 피해 방지를 위해 지속적으로 업데이트되는 침해지표 IP 접근을 차단해야 합니다. 해당 트래픽이 감지되는 경우, 관련 단말에 대해 상세한 보안 점검을 실시해야 합니다.

⑧ Ivanti VPN 침해지표(Hash)를 통한 보안 장비 이벤트 점검

Ivanti 취약점 관련 침해지표 HASH가 지속적으로 감지되고 있는데요. 보안 장비에서 파일 해시 검사를 지원한다면 점검을 통해 발생 가능한 보안 위협을 사전에 차단하는 조치가 취해져야 합니다.

⑨ 그 외 보안 장비/주요 서버에서 공격자의 침해 흔적 점검

Ivanti를 대상으로 한 공격자들은 고도화된 공격 기법과 안티 포렌식 기술을 사용합니다. 기존 패턴 기반의 보안 시스템(백신, 침입방지시스템(IPS, IDS) 등)에 의해 탐지되지 않을 가능성이 있어 특정 주요 서버를 선별하고 의심스러운 이벤트의 존재 여부를 분석할 필요가 있습니다. 고도화된 APT 공격에 대해서는 행위 기반의 보안 전용 솔루션(MDR/NDR)에서 탐지되었으며, 이를 도입해 보안을 강화해야 합니다.

⑩ 시스템 로그에 대한 관리 점검

시스템 로그 관리 정책을 철저히 이행하며 모든 시스템 로그의 보존/보호 및 정기 검토를 수행해야 합니다. 보안팀은 비정상적인 로그 패턴을 식별하고 공격자들이 침투의 흔적을 남기지 않기 위한 로그 삭제를 방지해야 합니다.

SK쉴더스는 Ivanti VPN을 통한 점검 체크리스트와 더불어, 보안 위협을 실시간으로 감지하고 신속한 대응이 가능한 EDR 특화 위협 탐지 대응(Managed Detection and Response, MDR)서비스 도입을 제안했습니다.

Top-CERT Trend Report - Ivanti VPN 취약점 공격 동향 및 대응방안 리포트 전문이 궁금하다면?

■ SK쉴더스 MDR 서비스로 비즈니스를 안정적으로 운영해 보세요!

SK쉴더스 MDR 서비스는 진화하는 랜섬웨어 공격 분석부터 대응까지 가능한 원스톱 솔루션을 제공하고 있습니다. SK쉴더스는 수많은 해킹 피해 사례를 조사하고 연구하면서 산업별 레퍼런스 및 노하우를 축적했는데요. 이를 기반으로 고객 맞춤형 서비스를 제공하며 안전한 비즈니스 환경을 구축하고 있습니다.

✅ SK쉴더스만의 MDR 서비스는?

ㆍ EDR 전문가의 기술과 전문지식을 기반으로 위협 모니터링, 분석 등 관제 서비스를 제공합니다.

ㆍ 숙련된 운영 전문가의 신속한 대응 체제를 통해 사이버 보안 위협에 대응합니다.

ㆍ 산업군 레퍼런스 기반 고객사 특성에 적합한 맞춤형 서비스를 제공합니다.

‍

‍

_{[콘텐츠 내용 출처]}

_{- Top-CERT Trend Report,Ivanti VPN 취약점 공격동향 및 대응방안}

_{- SK쉴더스 Top-CERT, IvantiVPN 취약점 분석과 대응방안 공개}

_‍