[KRCERT]美 CISA 발표 주요 Exploit 정보공유(Update. 2025-10-14)

내용 요약

본 문서는 SKYSEA Client View, Rapid7 Velociraptor, Microsoft Windows(Remote Access Connection Manager 및 Agere Modem Driver)에서 발견된 주요 취약점들을 정리하고, 각 취약점의 공격 흐름, 영향, 그리고 대응 방안을 단계별로 설명합니다.

핵심 포인트

• 취약점 종류와 CVE 식별: Improper Authentication, Incorrect Default Permissions, Improper Access Control, Untrusted Pointer Dereference 등 4개의 핵심 취약점이 공통적으로 권한 상승 및 원격 코드 실행을 가능하게 함.
• 공격 시나리오: 대부분 사전 접근 권한을 필요로 하거나 네트워크 레이어에서 인증 검증을 우회하는 방식으로 악용.
• 적용 가능한 완화 조치: 공급업체 가이드에 따른 패치 적용, BOD 22‑01(클라우드 서비스) 가이드라인 준수, 그리고 가능 시 제품 사용 중단이 권장됨.

---

기술 세부 내용

1️⃣ SKYSEA Client View Improper Authentication (CVE‑2016‑7836)

공격 흐름

단계	설명	공격자가 필요로 하는 조건	결과
1️⃣	TCP 연결 수립 – 관리 콘솔 프로그램이 네트워크에서 Authentication TCP 세션을 열 때, 인증 요청 헤더가 정형화되지 않음.	무작위 IP, 포트	인증 과정을 건너뛰거나 조작 가능.
2️⃣	인증 파싱 오류 – 서버는 인증 토큰을 정확히 검증하지 않음.	-	악의적 요청이 정상 로그인으로 인식.
3️⃣	원격 코드 실행 – 인증 성공 시 서버는 사용자 스크립트를 로드하고 실행. 공격자는 악성 스크립트를 삽입해 원격 코드 실행 가능.	정상 인증이 필요 없거나 조작된 인증 토큰	원격에서 명령을 실행, 시스템을 완전히 장악.

핵심 위험
- 원격 코드 실행 → 시스템 완전 탈취
- 인증 우회 → 내부망 접근 허용

대응 단계
1️⃣ 패치 적용 – SKYSEA에서 제공하는 최신 버전으로 업그레이드.
2️⃣ TLS/SSL 사용 – 트래픽 암호화를 통해 도청 방지.
3️⃣ 네트워크 접근 제어 – 관리 콘솔에 대한 IP 화이트리스트 설정.
4️⃣ 정기적인 보안 테스트 – 인증 흐름 검증 및 취약점 스캐닝 수행.

---

2️⃣ Rapid7 Velociraptor Incorrect Default Permissions (CVE‑2025‑6264)

공격 흐름

단계	설명	필요 조건	결과
1️⃣	클라이언트 연결 – Velociraptor 에이전트가 수집 요청을 서버에 전송.	클라이언트가 이미 실행 중이며 네트워크 접근 가능.	서버가 요청을 수락.
2️⃣	기본 권한 확인 – 서버가 요청을 “관리자 권한이 필요”라고 판단하지만, 디폴트 권한이 Administrator로 설정되어 있음.	요청이 Administrator 권한을 요구.	권한 상승 없이 명령이 실행됨.
3️⃣	임의 명령 실행 – 공격자는 커스텀 명령(예: PowerShell 스크립트)를 전송해 엔드포인트 취약점 활용.	수집 API에 접근 권한.	엔드포인트 전면 장악.

핵심 위험
- 기본 권한 문제 → 비정상적으로 높은 권한 부여
- 엔드포인트 제어 → 전면 탈취

대응 단계
1️⃣ 권한 재설정 – Velociraptor 에이전트와 서버의 API 권한을 최소 권한 원칙에 따라 재구성.
2️⃣ 다중 인증 – OAuth 혹은 JWT 기반 인증 도입.
3️⃣ 액세스 로그 감사 – 비정상적인 명령 실행 시 경고 및 자동 차단.
4️⃣ 보안 업데이트 – Rapid7에서 배포한 CVE‑2025‑6264 패치 적용.

---

3️⃣ Microsoft Windows Improper Access Control (CVE‑2025‑59230)

공격 흐름

단계	설명	필요 조건	결과
1️⃣	원격 연결 – 인증된 사용자가 Windows Remote Access Connection Manager(RACM)에 접속.	정규 사용자 계정이 인증 성공.	접속 성공.
2️⃣	권한 확인 – RACM은 사용자 권한 검증이 미흡해 관리자 권한을 가진 세션으로 인식.	관리자 권한이 아닌 일반 계정.	Elevate Privilege가 허용.
3️⃣	명령 실행 – 공격자는 sc create와 같은 시스템 명령어를 전송해 서비스를 새로 생성하고, 그 서비스를 통해 원격 명령 실행.	RACM 접근 권한.	로컬 권한 상승 → 시스템 전체 제어.

핵심 위험
- 원격 권한 상승 → 로컬 시스템 완전 탈취
- 서비스 조작 → 악성 서비스 설치

대응 단계
1️⃣ 패치 적용 – Microsoft에서 제공하는 CVE-2025-59230 패치를 즉시 설치.
2️⃣ 접근 제한 – RACM 서비스에 대한 IP 기반 접근 제한 및 두 단계 인증 도입.
3️⃣ 감시 – Event Viewer에서 Access Denied 및 Privilege Escalation 관련 로그를 모니터링.
4️⃣ 최소 권한 원칙 적용 – 원격 관리 기능을 필요 최소한의 사용자에게만 허용.

---

4️⃣ Microsoft Windows Agere Modem Driver Untrusted Pointer Dereference (CVE‑2025‑24990)

공격 흐름

단계	설명	필요 조건	결과
1️⃣	드라이버 로드 – Agere Modem Driver가 시스템 부팅 시 자동 로드.	드라이버가 불특정 포인터를 가리키는 변수를 사용.	드라이버 초기화 시점에 NULL 포인터 발생 가능.
2️⃣	포인터 역참조 – 드라이버가 해당 포인터를 역참조하면서 임의 메모리에 접근.	공격자가 드라이버 내부 구조를 조작(예: IOCTL 요청).	메모리 손상, 권한 상승.
3️⃣	관리자 권한 획득 – 드라이버가 커널 모드에서 실행되므로, 성공적으로 포인터를 조작하면 Administrator 권한을 획득.	드라이버 접근 권한 (관리자 수준).	시스템 전체 탈취.

핵심 위험
- 커널 모드 취약점 → 시스템 레벨 권한 상승
- 포인터 조작 → 메모리 무결성 파괴

대응 단계
1️⃣ 드라이버 패치 – Microsoft 또는 Agere에서 제공하는 패치를 적용.
2️⃣ 드라이버 서명 검증 – Windows Driver Signing Enforcement 활성화.
3️⃣ 정기 스캔 – Driver Verifier를 사용해 드라이버 이상 탐지.
4️⃣ 실행 환경 제어 – 필요 없는 드라이버는 비활성화, Secure Boot와 Trusted Platform Module (TPM) 활용.

---

BOD 22‑01 가이드라인 요약

• 클라우드 서비스는 최소 권한과 네트워크 격리를 적용해야 함.
• 보안 패치는 24시간 이내에 적용하도록 자동화(예: WSUS, SCCM, Azure Automation).
• 모니터링은 SIEM과 EDR을 통해 비정상적 접근을 실시간 탐지.
• 정기적인 보안 평가(Vulnerability Assessment, Penetration Testing)를 통해 신규 취약점 사전 탐지.

---

결론

위 4개의 취약점은 모두 권한 상승 혹은 원격 코드 실행을 가능하게 하며, 공격자는 이를 통해 시스템 전체를 장악할 수 있다. 가장 효과적인 대응은 공급업체 패치 적용과 BOD 22‑01 가이드라인에 따라 접근 제어와 보안 모니터링을 강화하는 것이다. IT 보안 담당자는 정기적인 패치 관리와 취약점 평가를 통해 이러한 위험을 최소화해야 한다.

---

 

출처: https://knvd.krcert.or.kr/detailSecNo.do?IDX=6604