CVE-2025-61932 악용: 실제 공격에 사용된 새로운 주요 Motex LANSCOPE Endpoint Manager 취약점

분석

CVE-2025-61932는 온프레미스 Motex LANSCOPE Endpoint Manager의 크리티컬 원격 코드 실행 취약성(CVSS v4 9.3)으로, 클라이언트 프로그램과 탐지 에이전트 구성 요소에 영향을 미칩니다. 이 결함은 통신 채널 소스의 검증이 불충분하여 공격자가 조작된 네트워크 패킷을 취약한 서버로 전송하여 기본 시스템에서 임의의 코드를 실행할 수 있도록 합니다. 실제로 CVE-2025-61932는 관리되는 엔드포인트 전반에 걸친 대규모 타협을 위한 초기 액세스 벡터로 엔드포인트 관리 플랫폼을 전환할 수 있습니다. 이는 이론적 위험이 아닙니다: CISA는 CVE-2025-61932를 KEV(알려진 악용 취약성) 카탈로그에 추가했습니다. 일본 JVN 및 JPCERT/CC의 자문은 고객 환경을 대상으로 하는 악의적인 패킷과 이 취약성을 통한 아직 식별되지 않은 백도어의 가능성을 보고합니다.

조사

CVE-2025-61932를 조사하는 보안 팀은 먼저 관리되지 않거나 그림자 IT 인스턴스를 포함하여 Motex LANSCOPE Endpoint Manager의 모든 배포를 식별해야 합니다. 이 취약성은 9.4.7.1 및 이전 버전에 영향을 미치며, 9.3.2.7, 9.3.3.9 및 9.4.0.5–9.4.7.3에서 해결되었으므로, 노출을 이해하기 위해 정확한 버전 매핑이 중요합니다. 다음으로, JPCERT/CC의 2025년 4월 이후 윈도우나 익숙하지 않은 IP 범위에서 LANSCOPE 관리 포트를 타격하는 비정상적이거나 권한 없는 패킷을 위해 네트워크 텔레메트리에 집중하십시오. 서버 측에서는 Endpoint Manager 서비스에 의해 생성된 예기치 않은 프로세스, 비정상적인 자원 사용 또는 백도어를 신호할 수 있는 새로운 수신 대기 포트를 찾아보십시오. LANSCOPE 설치 경로 및 일반적인 지속성 위치의 새로 생성된 바이너리, 스크립트 또는 설정을 검색하십시오. 범위를 넓히기 위해 SOC Prime의 Threat Detection Marketplace 및 Uncoder AI를 사용하여 게시된 IOC 및 트래픽 패턴을 SIEM, EDR 및 Data Lake 쿼리로 변환하십시오.

완화

CVE-2025-61932가 이미 적극적으로 악용되고 있기 때문에 패치는 필수적입니다. Motex는 LANSCOPE Endpoint Manager의 수정 버전을 발표했으며, CISA는 2025년 11월 12일까지 취약한 빌드를 운영하는 모든 기관에게 보안을 해결할 것을 촉구했습니다. 첫 번째 단계로는, 귀하의 변경관리 프로세스에 따라 승인된 최신 패치 릴리스로 모든 영향을 받은 온프레미스 LANSCOPE 인스턴스를 업그레이드하십시오. 동시에, 네트워크를 분할, VPN, 방화벽 규칙을 통해 LANSCOPE 관리 인터페이스에 대한 접근을 제한하고 관리 포트를 인터넷에 직접 노출하지 않도록 강화하십시오. 제로 트러스트 원칙을 적용하십시오: LANSCOPE를 고가치 자산으로 취급하고 강력한 인증을 적용하며, 관리 계정을 최소화하고 권한 활동을 면밀히 모니터링하십시오. 마지막으로, CVE-2025-61932를 취약성 스캐닝 및 우선순위 워크플로우에 통합하여 새롭게 발견된 취약 인스턴스를 빠르게 식별하고 해결하십시오.

반응

귀하의 환경에서 CVE-2025-61932가 악용되었다고 의심되는 경우:

1. 시스템을 격리하십시오. 포렌식 작업이 가능하도록 하면서도 신뢰할 수 없는 네트워크로부터 영향을 받은 LANSCOPE 서버를 격리하십시오.
2. 증거를 보존하십시오. 전체 디스크 이미지, 메모리 스냅샷, 애플리케이션 로그 및 네트워크 추적을 Endpoint Manager 및 인근 시스템에 대해 캡처하십시오.
3. 백도어를 찾으십시오. JVN/JPCERT/CC 보고에 따라, 관리 서버와 관리되는 엔드포인트 모두에서 알 수 없는 서비스, 무단 계정, 의심스러운 예약 작업 및 신뢰할 수 없는 바이너리를 깊이 조사하십시오.
4. 재구축하고 다시 키를 변경하십시오. 위협이 안전하게 제외될 수 없는 경우, 신뢰할 수 있는 이미지에서 LANSCOPE 서버를 재구축하고, 모든 패치를 적용하며, 노출된 자격증명을 다시 설정하십시오, 서비스 및 관리 계정을 포함하여.
5. 탐지를 강화하십시오. SOC Prime의 탐지 콘텐츠와 Uncoder AI를 사용하여, SIEM, EDR 및 Data Lake 전반에 걸쳐 CVE-2025-61932 탐지 패턴 및 사후-탐지 행동에 대한 규칙을 배포하거나 조정하십시오.

시기적절한 패치, 초점있는 조사 및 강력한 탐지는 CVE-2025-61932 및 유사한 엔드포인트 관리자 악용의 장기적인 위험을 상당히 줄입니다.