보안솔루션 기업 이반티, 중국 연계 추정 스파이그룹서 사이버 공격
이반티 커넥트 시큐어, 폴리시 시큐어, ZTA 게이트웨이에 악성코드 삽입 추정
댓글 0
기사입력
: 2025.04.04 09:06
[시큐리티팩트=최석윤 기자] 최근 중국과 연계된 것으로 보이는 사이버 스파이 그룹이 네트워크 보안 솔루션 기업인 이반티(Ivanti)의 주요 제품에서 발견된 취약점을 지속적으로 공격하고 있어 보안 업계에 비상이 걸렸다고 3일(현지시각) 다크리딩이 보도했다.
이들은 이반티 커넥트 시큐어(Connect Secure), 폴리시 시큐어(Policy Secure), ZTA 게이트웨이 특정 버전에 존재하는 취약점을 발판 삼아 표적 시스템에 두 가지 새롭고 위험한 악성코드 제품군을 은밀히 심고 있는 것으로 드러났다.
이반티는 UEM(통합 엔드포인트 관리) , Security(사이버 보안), EXM(경험관리 분야) 솔루션을 바탕으로 클라우드에서 에지까지 IT 자산 검색, 관리, 보안 및 서비스 등을 제공하는 글로벌 마켓 리더 기업이다.
이반티는 이미 지난 2월, 자사 제품에서 버퍼 오버플로우(Buffer Overflow) 취약점인 CVE-2025-22457을 수정하는 패치를 배포한 바 있다. 당시 이반티는 해당 취약점이 고객에게 미치는 위험 수준을 낮게 평가했지만, 최근 이러한 평가를 번복하고 중요도를 대폭 상향 조정했다.
이는 사이버 스파이 그룹들이 해당 취약점을 악용하여 영향을 받는 시스템에서 임의의 악성 코드를 실행할 수 있다는 사실이 새롭게 확인되었기 때문이다. 이에 따라 해당 취약점은 CVSS(Common Vulnerability Scoring System) 기준 10점 만점에 9점이라는 매우 심각한 점수를 받게 됐다.
정교한 방식으로 보안 프로그램 악용
이반티는 이날 발표한 보안 권고문에서 ‘CVE-2025-22457’ 취약점에 대해 "마침표와 숫자로 제한된 문자만으로 구성된 버퍼 오버플로우이며, 원격 코드 실행으로 악용될 수 없는 것으로 평가되어 서비스 거부 공격의 가능성조차 낮다고 판단했었다"고 밝혔다. 그러나 "이반티와 보안 파트너들은 면밀한 분석을 통해 해당 취약점이 정교한 방식을 통해 악용될 수 있다는 점을 새롭게 인지했으며, 실제 환경에서 활발하게 악용되고 있는 증거를 포착했다"고 덧붙였다.
이번에 문제가 된 취약점은 다음과 같은 이반티 제품 및 버전에 영향을 미친다.
-Ivanti Connect Secure (버전 22.7R2.5 이하)
-Ivanti Policy Secure 및 ZTA 게이트웨이
-펄스 커넥트 시큐어(Pulse Connect Secure) 9.x (이반티가 2024년 12월 31일부로 기술 지원을 종료한 제품)
이반티는 현재까지 관찰된 실제 공격 사례가 ‘Ivanti Connect Secure 버전 22.7R2.5’ 이하 및 이미 지원이 종료된 ‘펄스 커넥트 시큐어 9.1x’ 장치를 사용하는 ‘제한된 수’의 고객에게 발생했다고 설명했다. 다행히 현재까지는 공격자들이 상대적으로 공격에 덜 노출된 폴리시 시큐어 또는 ZTA 게이트웨이의 취약점을 악용한 징후는 발견되지 않았다고 이반티는 밝혔다.
이에 이반티는 영향을 받는 버전의 ‘Ivanti Connect Secure’를 사용하고 있는 업체나 기관들에게 지난 2월에 이미 배포된 최신 버전인 ‘22.7R2.6’으로 즉시 업그레이드할 것을 강력히 권고했다. 또한, 어플라이언스가 이미 악성코드에 감염된 징후가 보이는 조직의 경우, 해당 장비를 공장 초기화한 후 최신 버전(22.7R2.6)으로 재설치하여 운영해야 한다고 강조했다.
이반티는 영향을 받는 Ivanti Policy Secure 버전에 대한 패치를 오는 4월 21일에 배포할 예정이며, Ivanti ZTA 게이트웨이에 대한 패치는 4월 19일에 자동으로 배포할 계획이다. 이미 지원이 종료된 버전의 펄스 커넥트 시큐어를 사용하고 있는 조직은 가능한 한 빠른 시일 내에 지원이 제공되는 최신 버전으로 마이그레이션할 것을 권고했다.
중국 연계 추정 사이버 스파이 행위자 'UNC5221'
이번 이반티 제품의 취약점 분석을 지원한 구글의 보안 전문 자회사 맨디언트(Mandiant)는 현재 해당 취약점을 악용하고 있는 주체를 중국과 연계된 것으로 보이는 'UNC5221'이라는 그룹으로 지목했다. 맨디언트의 분석에 따르면, 이들은 CVE-2025-22457 취약점을 통해 초기 접근 권한을 획득한 후 표적 시스템에 두 가지 새로운 악성코드 도구를 심었다.
첫 번째 악성코드는 'Trailblaze'라는 이름의 드로퍼(Dropper)로, 감염된 시스템의 메모리 상에서 실행되어 또 다른 악성코드인 'Brushfire'를 배포하는 역할을 한다. 'Brushfire'는 은밀하게 백도어 기능을 수행하는 악성코드 제품군이다. 이 외에도 UNC5221은 이전 공격 캠페인에서 사용했던 'Spawnsloth'(로그 변조 도구), 'Spawnsnare'(암호화 도구), 'Spawnant'(추가 악성코드 설치 프로그램) 등 다양한 도구들을 함께 활용하고 있는 것으로 밝혀졌다.
맨디언트의 선임 컨설턴트인 매트 린(Matt Lin)은 UNC5221 그룹이 이반티의 CVE-2025-22457 패치가 공개된 직후인 지난 2월부터 해당 취약점을 악용하기 시작했다고 밝혔다.
그는 "해당 취약점은 초기 분석에서 버퍼 오버플로우로 확인되었지만, 오직 마침표와 숫자로만 구성된 제한적인 문자 공간만을 허용하는 버퍼였기 때문에, 원래는 모든 익스플로잇 시도가 서비스 거부 공격과 같은 낮은 위험 수준에 그칠 것이라고 예상했다"고 설명했다. 그러나 린 컨설턴트는 "위협 행위자들은 패치 배포 후 ICS 22.7R2.6 버전과 이전 버전 간의 코드 차이점을 정밀하게 분석하여 취약점을 무기화하고 원격 코드 실행을 달성할 수 있는 정교한 방법을 찾아낸 것으로 보인다"고 추정했다.
이반티 제품군 취약점 대상으로 계속 공격
맨디언트는 이전에도 이반티 제품에서 제로데이(Zero-day, 아직 패치가 발표되지 않은 취약점) 버그를 악용하는 동일한 위협 행위자를 관찰한 바 있다. 가장 최근의 사례로는 이반티가 올해 1월 커넥트 시큐어 VPN 제품군에서 발견하여 긴급 패치를 배포한 두 건의 제로데이 취약점(CVE-2025-0282 및 CVE-2025-0283)이 있다. 맨디언트의 조사에 따르면 UNC5221 그룹은 최소 2024년 12월부터 이 두 가지 취약점을 활발하게 악용해 온 것으로 드러났다.
또한, 이번 주 초 미국 사이버 보안 및 인프라 보안국(CISA)은 위협 행위자들이 앞서 언급된 취약점 중 하나인 CVE-2025-0282를 적극적으로 악용하여 감염된 시스템에 'Resurge'라는 악성코드를 배포하고 있다고 경고하기도 했다.
작년 1월에도 맨디언트는 이반티의 커넥트 시큐어 및 폴리시 시큐어 어플라이언스에서 사용자 지정 웹 셸(Web Shell, 웹 서버를 통해 악성 명령을 실행할 수 있도록 하는 악성 스크립트) 및 기타 악성 소프트웨어를 피해 시스템에 몰래 설치하기 위해 CVE-2023-46805 및 CVE-2024-21887이라는 또 다른 두 개의 제로데이 취약점과 관련된 UNC5221 그룹의 공격 캠페인을 보고한 바 있다.
엣지 장비 중요.. 지속 보안 강화 필요
방화벽, VPN, 라우터 등 네트워크 경계에서 중요한 역할을 수행하는 이반티 기술에 대한 UNC5221 그룹의 지속적인 공격과 다른 공격 그룹들의 유사한 시도는 공격자 입장에서 이러한 시스템이 얼마나 중요한 표적인지를 명확하게 보여준다. 이러한 엣지 장비의 취약점은 공격자들에게 기업 네트워크 내에서 높은 권한을 가진 시스템에 접근할 수 있는 효과적인 경로를 제공하며, 추가적인 공격, 내부망 이동, 중요 데이터 유출 등 광범위한 사이버 공격을 위한 발판이 될 수 있다.
특히 엣지 장비가 compromised(컴퓨터 시스템이나 네트워크가 보안상의 허점이나 취약점을 통해 공격자에게 장악당한 상태)될 경우, 기존의 보안 조치를 우회하고 지속적인 접근을 유지하며, 표적 조직 내부에서 더욱 은밀하고 광범위한 사이버 스파이 활동이나 랜섬웨어 공격을 감행할 수 있게 된다. 따라서 기업 및 조직들은 네트워크 경계에 위치한 장비들의 보안 강화에 더욱 힘쓰고, 제조사의 보안 권고에 따라 신속하게 최신 패치를 적용하는 등 적극적인 보안 노력을 기울여야 한다.
