CVE-2021-22937 탐지: Pulse Connect Secure의 패치 우회 취약성

Ivanti는 Pulse Connect Secure VPN에 영향을 미치는 심각한 보안 취약점(CVE-2021-22937)을 해결했습니다. 이 결함은 악성 관리자가 루트 권한으로 임의 코드를 원격으로 실행할 수 있게 하는 악명 높은 버그 CVE-2020-8260을 완화하기 위해 작년 10월에 발행된 패치를 우회합니다.

CVE-2021-22937 설명

NCC Group의 심층 조사에 따르면, CVE-2021-22937은 2020년 가을에 해결된 고심각도 결함에 대한 패치 우회입니다. 이 초기 보안 취약점 (CVE-2020-8260)은 Pulse Connect Secure 인터페이스 내의 무제한 gzip 추출 문제에서 비롯됩니다. 이 오구성으로 인해 공격자들은 하드코딩된 키로 악의적으로 조작된 아카이브를 암호화 및 해독하고, 관리 GUI를 통해 이러한 아카이브를 가져와 상대의 파일 덮어쓰기를 수행할 수 있으며 이는 원격 코드 실행(RCE)을 초래합니다.

CVE-2020-8260 공격을 방지하기 위해 공급업체는 추출된 파일에 대한 검증을 도입했습니다. 그러나 이것은 ‘프로파일러’ 유형 아카이브에는 적용되지 않습니다. 그 결과, 원래 CVE-2020-8260 익스플로잇을 약간 수정하여 보호 기능을 극복하고 이전의 RCE 버그를 활용해 공격을 실행할 수 있습니다.

CVE-2021-22937의 성공적인 악용은 인증된 공격자가 관리자 권한으로 파일 시스템을 수정하고, 지속적인 백도어를 도입하며, 로그인 정보를 탈취하고, VPN 클라이언트를 손상시키는 등 더 많은 것을 할 수 있게 합니다.

현재 CVE-2021-22937에 대한 직접적인 개념증명(PoC)은 없지만, NCC Group의 분석은 CVE-2020-8260 PoC의 몇 가지 수정 내용을 보여주는 여러 스크린샷을 제공합니다. 이러한 이유로, 전문가들은 가까운 미래에 수정된 익스플로잇이 폭발적으로 증가할 것이라고 믿고 있습니다.

CVE-2021-22937 탐지

NCC Group의 지난주 Ivanti가 발행한 권고에 따르면, CVE-2021-22937는 버전 9.1R12 이전의 모든 Pulse Connect Secure 버전에 영향을 미칩니다. 관리자는 가능한 한 빨리 최신 버전으로 업그레이드하여 잠재적 악용 시도를 차단해야 합니다.

기업 인프라에 대한 잠재적 공격을 식별하는 데 보안 전문가를 돕기 위해 SOC Prime이 CVE-2021-22937 탐지를 위한 무료 사냥 규칙을 발표했습니다.

RCE 취약점 악용을 위한 가능한 Pulse Secure VPN 백업 구성 조작 [CVE-2020-8260/CVE-2021-22937]

이 규칙은 CVE-2021-22937의 잠재적 악용 시도를 나타내는 백업 구성 조작/작업을 식별하는 데 도움이 됩니다.

SIEM & SECURITY ANALYTICS: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Securonix

이 규칙은 MITRE ATT&CK® 프레임워크에 매핑되어 초기 접근 전술과 공개 노출 애플리케이션 기술(T1190)을 다룹니다. 탐지 콘텐츠는 등록 후 무료로 Threat Detection Marketplace에서 사용할 수 있습니다.

Threat Detection Marketplace에 무료로 가입하여 사이버 방어 능력을 강화하세요! 우리의 SOC 콘텐츠 라이브러리는 CVE와 MITRE ATT&CK® 프레임워크에 직접 매핑된 100K 이상의 탐지 및 응답 알고리즘을 집계하여 침입 초기에 악명 높은 사이버 공격을 견딜 수 있도록 합니다. 자체 탐지를 만들고 싶으신가요? 안전한 미래를 위해 Threat Bounty 프로그램에 참여하세요!

플랫폼으로 이동 Threat Bounty 참여