CVE-2023-46805 및 CVE-2024-21887 탐지: 중국 위협 행위자들이 Invanti Connect Secure 및 Policy Secure 인스턴스의 제로데이 취약점을 악용

외부에 노출된 시스템에 영향을 미치는 중요한 제로데이 취약점은 이들에 의존하는 여러 조직에 심각한 위협을 가하여 RCE 및 시스템 손상 위험에 노출시키며, 이는 FortiOS SSL-VPN의 활성화된 악용과 마찬가지입니다. FortiOS SSL-VPN 결함이 2023년 1월에 혼란을 야기했습니다. 최근 중국 국가 후원 해킹 그룹이 Ivanti Connect Secure (ICS) 및 Policy Secure 장치에서 CVE-2023-46805 및 CVE-2024-21887로 추적되는 두 개의 제로데이 취약점을 악용하는 것으로 관찰되었습니다. 감지된 결함은 공격자가 익스플로잇 체인을 생성하여 인터넷을 통한 영향을 받은 인스턴스를 탈취할 수 있게 합니다. 취약점 패치는 2024년 1월 22일 주간부터 점진적으로 배포될 예정입니다.

CVE-2023-46805 및 CVE-2024-21887 잠재적 익스플로잇 체인 탐지

취약점 악용은 국가 후원 행위자의 주요 침투 벡터 중 하나로 남아 있으며, 지난 10년 동안 취약한 애플리케이션의 수가 급격히 증가했습니다. 2024년 1월 첫 주를 기준으로 보안 전문가들이 공개한 600개 이상의 새로운 보안 결함이 2023년 보고된 연간 총 29,000개 이상에 기여했습니다. 

새로운 위협에 앞서고 사이버 공격을 개발 초기 단계에서 발견하기 위해 사이버 방어 담당자는 신뢰할 수 있는 탐지 콘텐츠와 함께 혁신적인 위협 조사 도구가 필요합니다. 공동 사이버 방어를 위한 SOC Prime 플랫폼은 11천 개 이상의 행동 기반 Sigma 규칙을 집계하여 감시 중에 어떤 위협도 감지되지 않도록 보장합니다. 아래의 탐지 탐색 버튼을 클릭하고 CVE-2023-46805 및 CVE-2024-21887 익스플로잇 탐지를 목표로 한 규칙 목록을 자세히 확인하세요.

탐지 탐색

모든 규칙은 28개의 SIEM, EDR, XDR 및 데이터 레이크 솔루션과 호환되며 MITRE ATT&CK 프레임워크에 매핑됩니다. 또한 탐지는 CTI 링크, 미디어 참조, 우선 순위 추천 등을 포함한 상세한 메타데이터로 보강됩니다.

CVE-2023-46805 및 CVE-2024-21887 분석

Ivanti의 연구원들은 최근 CVE-2023-46805 및 CVE-2024-21887로 추적되는 두 개의 제로데이 취약점을 식별하고 우려를 표명했습니다. 현재 이들은 중국과 관련된 국가 후원 행위자에 의해 활발히 악용되고 있습니다. 이러한 보안 결함은 Ivanti Connect Secure (ICS) 및 Ivanti Policy Secure 게이트웨이에 영향을 미칩니다. 9.x 및 22.x 버전을 포함한 모든 소프트웨어 버전이 영향을 받습니다. 

CVE-2023-46805는 CVSS 등급 8.2로, 대리인이 제어 검사를 회피하여 제한된 자료에 원격으로 액세스할 수 있도록 허용하는 인증 우회 결함입니다. CVE-2024-21887은 CVSS 등급 9.1로, 권한이 있는 관리자가 특정 요청을 전송하고 영향을 받은 장치에서 임의의 명령을 실행할 수 있도록 허용하는 치명적 명령 삽입 취약점입니다. 두 취약점은 함께 연결되어 공격자가 손상된 장치를 제어할 수 있게 합니다.

2023년 12월, Volexity 연구원들은 CVE-2023-46805 및 CVE-2024-21887이 Ivanti Connect Secure VPN 장치에서 인증되지 않은 RCE를 초래하는 와일드 익스플로잇을 포함한 수상한 활동을 처음으로 감지했습니다. 연구자들은 발견된 적 대행 활동을 UTA0178로 추적되는 해킹 그룹과 연결합니다. 성공적인 악용은 공격자가 구성 데이터를 획득하고 기존 파일을 변경하며 파일을 원격으로 검색하고 ICS VPN 장치에서 역터널을 설정하여 추가 시스템 손상으로 이어지게 합니다. 

계속되는 공격은 또한 정찰, 측면 이동 및 GLASSTOKEN이라는 커스텀 웹 셸 사용을 포함합니다. 후자는 손상된 CGI 파일을 통해 배포되어 공용 웹 서버에 대한 지속적인 원격 액세스를 보장합니다. 특히 추정되는 국가 후원 적대자는 포스트 익스플로잇 활동에서 최소 다섯 가지 다양한 멀웨어 계열을 배포했습니다.

Ivanti VPN 제로데이의 와일드 악용 증가로 인해, CISA는 결함을 알려진 악용 취약점 카탈로그에 추가하고 최근 전용 경고 를 발행하여 사이버 보안 인식을 높였습니다. 

위험이 증가함에 따라, Ivanti는 취약점 세부사항과 잠재적 완화를 다루는 보안 자문 을 게시했고, 패치가 진행되는 동안 Ivanti 사용자는 잠재적 위협에 대한 예방 조치로 작업 방법을 구현하는 것이 권장됩니다. ICS VPN 장치를 활용하는 조직은 성공적인 손상의 징후를 시간 내에 식별하기 위해 로그, 네트워크 원격 감시, 내부 무결성 검사 도구 결과를 철저히 조사하는 것이 강력히 추천됩니다.

VPN 장치 및 방화벽과 같은 인터넷에 노출된 시스템이 해커에게 매우 선호되는 대상이 되면서, 방어자는 그러한 공격을 미리 방지하기 위해 지속적인 경계가 요구됩니다. 중국 지원 해커가 Ivanti VPN 제로데이를 무기로 삼아 와일드 공격을 이어가고 있는 상황에서 사이버 회복력을 강화하는 것은 매우 중요합니다. 방어자는 Uncoder AI 를 통해 대규모 탐지 엔지니어링 작업을 가속하고, 규칙 코딩, IOC 일치, 65개 언어 형식으로 탐지 콘텐츠의 원활한 번역을 자동화하여 보안 모니터링 시간을 절약하고 네트워크 회복력을 향상시킬 수 있습니다.