ClickCease Ivanti 취약점을 노리는 익스플로잇의 새로운 멀웨어

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

Ivanti 취약점을 노리는 익스플로잇의 새로운 멀웨어

로한 티말시나

2024년 2월 14일 TuxCare 전문가 팀

Google 소유의 Mandiant가 Ivanti Connect Secure VPN 및 Policy Secure 디바이스의 취약점을 악용하는 새로운 멀웨어를 발견했습니다. 이 멀웨어는 중국 넥서스 스파이 그룹 UNC5221을 비롯한 여러 위협 그룹에서 악용 후 활동을 실행하는 데 활용되었습니다. 이러한 위협 행위자들이 사용하는 새로운 멀웨어 변종에는 부시워크, 체인라인, 프레임스팅, 라이트와이어의 변종이라는 이름의 맞춤형 웹 셸이 포함됩니다.

예를 들어 체인라인은 아이반티 커넥트 시큐어 파이썬 패키지에 내장된 파이썬 기반 웹 셸로, 임의의 명령 실행을 용이하게 합니다.

펄로 작성된 부시워크는 Ivanti의 완화 기능을 회피하고 공격자에게 서버에서 파일을 읽거나 쓸 수 있는 기능을 부여합니다.

프레임스팅은 아이반티 커넥트 시큐어 파이썬 패키지에 통합된 파이썬 웹 셸로 작동하여 임의의 명령을 쉽게 실행할 수 있습니다. 지정된 경로 내에 위치합니다: "/home/venv3/lib/python3.6/site-packages/cav-0.1-py3.6.egg/cav/api/resources/category.py".

Perl CGI로 작성된 LIGHTWIRE는 손상된 디바이스에 대한 지속적인 원격 액세스를 유지합니다.

맨디언트의 분석 결과 Ivanti 취약점이 악용되는 것으로 밝혀졌습니다: CVE-2023-46805 및 CVE-2024-21887로, 위협 행위자가 상승된 권한으로 임의의 명령을 실행할 수 있습니다. 이러한 결함은 2023년 12월부터 제로 데이로 활발히 악용되어 독일 연방 정보 보안국(BSI)에서 보고한 시스템 손상으로 이어졌습니다.

상황을 더욱 악화시킨 맨디언트는 네트워크 정찰 및 데이터 유출을 포함한 익스플로잇 후 활동을 지원하기 위해 Impacket, CrackMapExec, iodine 및 Enum4linux와 같은 오픈 소스 유틸리티가 사용되는 것을 확인했습니다.

Ivanti는 CVE-2024-21888 및 CVE-2024-21893을 포함한 추가 보안 결함을 공개하고 이러한 취약점을 해결하기 위한 패치를 발표했습니다. 그러나 UNC5221은 중국의 전략적 관심 대상인 다양한 산업을 표적으로 삼아 계속해서 심각한 위협을 가하고 있습니다.

 

결론

 

이러한 Ivanti 취약점으로 인한 위험을 완화하기 위해 미국 사이버보안 및 인프라 보안국(CISA) 은 영향을 받는 기관에 Ivanti 디바이스를 네트워크에서 즉시 분리하고 패치를 즉시 적용할 것을 촉구하는 지침을 발표했습니다. 또한 기관은 추가 침해를 방지하기 위해 비밀번호를 재설정하고 액세스 토큰을 취소하는 것이 좋습니다.

요약하자면, 이러한 취약점의 발견은 사전 예방적 사이버 보안 조치의 중요성을 강조하고 정교한 위협 행위자들이 제기하는 지속적인 도전 과제를 강조합니다. 진화하는 사이버 위협으로부터 보호하려면 경계를 늦추지 않고 적시에 패치를 적용하며 사이버 보안 모범 사례를 준수하는 것이 중요합니다.

 

이 글의 출처는 TheHackerNews의 기사입니다.

요약
Ivanti 취약점을 노리는 익스플로잇의 새로운 멀웨어
기사 이름
Ivanti 취약점을 노리는 익스플로잇의 새로운 멀웨어
설명
위협 행위자가 악용하는 Ivanti 취약점과 악용 후 활동 중에 사용되는 새로운 멀웨어 및 전술에 대해 알아보세요.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기