이반티(Ivanti)는 자사 제품에서 발생하는 취약점을 해결한 보안 업데이트를 지난 2일 발표했다. 영향받는 버전을 사용 중인 시스템 사용자는 해결 방안에 따라 최신 버전으로 업데이트해야 안전할 수 있다. 하지만 여전히 다수의 한국을 비롯해 전세계 650여개 이상 기업들이 공격을 당하고 있어 각별한 주의가 필요한 시점이다.

이번 취약점은 △Ivanti Connect Secure 및 Ivanti Policy Secure에서 발생하는 권한 상승 취약점(CVE-2024-21888) △Ivanti Connect Secure 및 Ivanti Policy Secure에서 발생하는 SSRF 취약점(CVE-2024-21893) 등이다.

한편 사이버 보안 전문가들은 이반티 커넥트 시큐어, 정책 시큐어, ZTA 게이트웨이를 겨냥한 정교한 사이버 위협을 발견했다. 악의적인 공격자들은 CVE-2024-21893 취약점을 악용해 교묘한 DSLog 백도어를 배포하고 있으며, 전 세계 조직에 전례 없는 위험을 초래하고 있다.

공격자가 인증 메커니즘을 우회하고 매우 민감한 리소스에 무단으로 액세스할 수 있도록 하는 이반티 제품의 SAML 구성 요소 내 취약점이 원인이다. 이반티 게이트웨이 9.x 및 22.x 버전은 취약점이 노출되어 있어 익스플로잇에 취약한 상태다.

공격자들은 SSRF 취약점을 활용해 이반티 게이트웨이에 침투해 DSLog 백도어를 유포하고 있다. 어플라이언스의 코드 베이스에 교묘하게 숨겨져 있는 이 백도어는 원격 명령 실행을 용이하게 해 위협 행위자가 손상된 서버에 자유롭게 액세스할 수 있도록 한다.

DSLog 백도어는 기존 탐지 메커니즘을 회피하며 은밀하게 작동한다. 공격자는 인코딩된 명령을 SAML 인증 요청에 삽입함으로써 감염된 디바이스를 조작해 은밀하게 작업을 실행할 수 있다. 이후에는 파일 시스템 권한을 확보하고, 합법적인 스크립트 수정을 탐지하고, DSLog 파일에 백도어를 삽입한다.

◇DSLog 백도어의 주요 특징

어플라이언스당 고유한 SHA256 해시를 API 키로 사용해 HTTP 요청의 인증을 보장한다. 또 루트 권한으로 명령을 실행해 위협 행위자가 손상된 서버에 대한 상당한 제어권을 행사할 수 있도록 한다. 그리고 상태나 코드를 반환하지 않고 작동해 스텔스 기능을 활용할 수 있다. 더불어 '.access' 로그를 삭제해 악의적인 활동을 숨겨 존재를 더욱 은폐한다.

최근 사이버 보안 회사의 조사에 따르면, 전 세계적으로 약 700개의 이반티 서버가 침해된 것으로 밝혀져 엄청난 침해 규모가 드러났다. 이 중 약 20%의 엔드포인트가 이전에 영향을 받았지만, 나머지는 패치되지 않은 취약점이나 부적절한 완화 조치로 인해 피해를 입었다.

보안담당자는 이반티 게이트웨이를 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2, 22.5R1.1, Connect Secure용 22.5R2.2, Policy Secure용 22.5R1.1, ZTA용 22.6R1.3 버전 등 최신 보안 패치로 업데이트해야 한다.

또 아이반티가 제안하는 XML 완화 전략을 배포해 API 엔드포인트를 차단하고 잠재적인 공격을 차단해야 한다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★