CVE-2025-11001: NHS, 7-Zip 심볼릭 링크 기반 RCE 취약점에 대한 PoC 익스플로잇 경고

요약

수비수들은 특별히 제작된 ZIP 아카이브에 포함된 심볼릭 링크로 인해 트리거되는 7-Zip의 원격 코드 실행 취약점(CVE-2025-11001)을 밝혀냈습니다. NHS England Digital은 개념증명(PoC) 익스플로잇 코드의 가용성을 주목하며, 당시까지 확정된 in-the-wild 익스플로잇이 탐지되지 않았음을 강조했습니다. 이 문제는 주로 Windows 환경에 영향을 미치며, 서비스 계정에 접근한 공격자에 의해 악용될 수 있습니다. 이어지는 자문 업데이트에서는 초기 우려와 달리 활성화된 익스플로잇이 관찰되지 않았음을 명확히 했습니다.

CVE-2025-11001 분석

연구자들은 CVE-2025-11001이 ZIP 파일에 내장된 심볼릭 링크를 7-Zip이 처리하는 방법에서의 경로 탐색 결함에서 발생한다고 판단했습니다. Trend Micro의 Zero Day Initiative는 잠재적인 영향을 강조했으며, 한 보안 연구자가 이 버그를 통해 실질적인 코드 실행을 보여주는 PoC를 발표했습니다. NHS England Digital은 익스플로잇의 징후를 추적하기 위해 원격 측정을 수행하고, 이 연구 결과와 위협 정보 보고에 기반한 지침을 발행했습니다.

경감

위험을 경감하기 위해, 사용자는 CVE-2025-11001 및 CVE-2025-11002를 해결하는 7-Zip 버전 25.00으로 업그레이드해야 합니다. 조직은 7-Zip이 높은 권한이나 개발자 툴링과 함께 실행되는 시스템에서 이 업데이트를 우선시 해야 합니다. 추가적인 강화 조치는 신뢰할 수 없는 아카이브의 실행을 차단하고, 민감한 호스트에서 7-Zip을 실행할 수 있는 사람을 제한하며, 아카이브 처리와 관련된 비정상적인 프로세스 행동을 모니터링하는 것을 포함합니다.

대응

탐지 및 대응 팀은 신뢰할 수 없는 경로에서 시작된 7-Zip 프로세스 및 임시 또는 사용자 쓰기가 가능한 디렉터리에서의 비정상적인 심볼릭 링크 생성을 주시해야 합니다. 고권한 프로세스가 7-Zip 활동으로부터 시작될 때 알림을 생성하고, 이러한 신호를 Windows 이벤트 로그와 연관시켜 잠재적인 코드 실행 시도를 포착해야 합니다. 최신 7-Zip 패치가 배포되었는지 확인하고, 엔드포인트 전반에 걸쳐 최소 권한 실행 정책을 강화하십시오.

시뮬레이션 실행

전제 조건: 원격 측정 및 기준선 사전 검사에 통과해야 합니다.

이유: 이 섹션은 탐지 규칙을 트리거하기 위해 설계된 상대의 기술(TTP)의 정확한 실행을 상세히 설명합니다. 명령 및 내러티브는 식별된 TTP를 직접 반영해야 하며 탐지 논리로 예상되는 정확한 원격 측정을 생성하는 것을 목표로 합니다.

• 공격 내러티브 및 명령:
  상대방은 ‘7-Zip 21.02_exploit.zip’이라는 이름의 악의적인 아카이브를 제작합니다7‑Zip 21.02_exploit.zip이를C:WindowsSystem32calc.exe로 가리키는 심볼릭 링크를 포함하도록 합니다. 피해자가 취약한 7‑Zip 버전 (21.02)으로 아카이브를 추출할 때, 심볼릭 링크가 해석되어 공격자가 제어하는 페이로드가 권한이 있는 위치에 기록되고 이후 실행되어 CVE‑2025‑11001을 통해 원격 코드 실행을 달성하게 됩니다.

  공격자의 워크스테이션에서 수행되는 단계 (로컬에서 시뮬레이션):

  1. 심볼릭 링크link_to_calc를 생성하여C:WindowsSystem32calc.exe.
  2. ‘7-Zip 21.02’라는 정확한 문자열을 포함한 이름을 가진 ZIP 파일에 symlink를 패키징합니다.
  3. 대상 호스트에 ZIP을 드롭 (모니터된 폴더에 복사하여 시뮬레이션함).

• 회귀 테스트 스크립트:다음 PowerShell 스크립트는 대상 기계에서 위의 작업을 재현합니다. 현재 사용자가 심볼릭 링크를 생성할 권한이 있다고 가정합니다 (SeCreateSymbolicLinkPrivilege).

  # 시뮬레이션 스크립트 – Sigma 규칙을 발동시키는 악성 ZIP을 생성합니다
  # 전제 조건: symlink를 생성하려면 관리자 권한으로 실행
  
  # 1. 경로 정의
  $tempDir   = "$env:Tempziptp"
  $linkPath  = "$tempDirlink_to_calc"
  $targetExe = "$env:WINDIRSystem32calc.exe"
  $zipPath   = "$tempDir7-Zip 21.02_exploit.zip"
  
  # 2. 작업 디렉터리 준비
  New-Item -ItemType Directory -Force -Path $tempDir | Out-Null
  
  # 3. 심볼릭 링크 생성 (파일 타입)
  cmd /c mklink "$linkPath" "$targetExe" | Out-Null
  
  # 4. 링크 생성 확인
  if (-not (Test-Path $linkPath -PathType Leaf)) {
      Write-Error "심볼릭 링크 생성 실패."
      exit 1
  }
  
  # 5. 7‑Zip을 사용하여 ZIP 아카이브에 symlink 추가 (7z.exe가 PATH에 있다고 가정)
  & 7z a -tzip -slink "$zipPath" "$linkPath" | Out-Null
  
  # 6. 임시 링크 정리 (탐지를 위해 ZIP 유지)
  Remove-Item $linkPath -Force
  
  Write-Host "악성 ZIP이 $zipPath에 생성됨"

• 정리 명령:검증 후 아티팩트를 제거합니다.

  $tempDir = "$env:Tempziptp"
  Remove-Item -Recurse -Force $tempDir
  Write-Host "정리가 완료되었습니다."