[데일리시큐][긴급] 비욘드트러스트 원격지원 제품, 인증 없는 RCE 취약점 발견…위협 심각

내용 요약

BeyondTrust의 Remote Support 및 Privileged Remote Access 제품에서 인증 없는 원격 코드 실행(RCE)이 가능한 심각한 취약점(CVE-2025-5309)이 발견되었습니다. 이 취약점은 채팅 기능의 서버 측 템플릿 삽입(SSTI) 문제로 인해 발생하며, 공격자는 인증 없이도 악성코드를 실행하여 시스템을 제어할 수 있습니다.

핵심 포인트

• BeyondTrust 제품의 심각한 보안 취약점 발견
• 인증 없는 원격 코드 실행(RCE) 가능
• 취약점 유형: 서버 측 템플릿 삽입(SSTI)
• 영향받는 제품: Remote Support, Privileged Remote Access
• 채팅 기능을 통해 악용 가능

기술 세부 내용

1️⃣ Remote Code Execution (RCE)

• 설명: RCE는 공격자가 대상 시스템에서 임의의 코드를 실행할 수 있게 하는 취약점입니다. 공격자는 이를 통해 시스템 제어 권한을 획득하고, 데이터 유출, 시스템 파괴 등 다양한 악의적인 행위를 수행할 수 있습니다. 심각도가 매우 높은 취약점으로, 시스템에 대한 완전한 제어 권한 상실로 이어질 수 있습니다.
• CVE-2025-5309: 이번 BeyondTrust 제품에서 발견된 RCE 취약점은 CVE-2025-5309로 등록되었습니다. CVE는 Common Vulnerabilities and Exposures의 약자로, 공개적으로 알려진 사이버 보안 취약점 목록입니다.
• ⚠️ 위험성: 인증 없이 RCE가 가능하다는 것은 공격자가 시스템 접근 권한 없이도 악성 코드를 실행할 수 있음을 의미합니다. 이는 매우 위험한 상황이며, 신속한 패치 적용이 필요합니다.

2️⃣ Server-Side Template Injection (SSTI)

• 설명: SSTI는 공격자가 서버 측에서 사용되는 템플릿 엔진에 악의적인 코드를 삽입하는 공격 기법입니다. 템플릿 엔진은 사용자 입력을 동적으로 생성된 웹 페이지에 포함하는 데 사용됩니다. 공격자가 이 엔진에 악성 코드를 삽입하면 서버에서 해당 코드가 실행되어 시스템이 손상될 수 있습니다.
• 채팅 기능 악용: 이번 취약점은 BeyondTrust 제품의 채팅 기능에서 발견된 SSTI를 통해 악용됩니다. 공격자는 채팅 메시지를 통해 악성 코드를 삽입하여 서버에서 실행시킬 수 있습니다.
• ⚠️ 공격 시나리오: 공격자는 특수하게 조작된 채팅 메시지를 전송하여 서버 측 템플릿 엔진에 악성 코드를 삽입합니다. 서버는 이 코드를 실행하고, 공격자는 시스템에 대한 접근 권한을 얻게 됩니다.

3️⃣ Remote Support & Privileged Remote Access

• 설명: BeyondTrust의 Remote Support는 IT 지원 담당자가 원격으로 사용자 시스템에 접속하여 문제를 해결할 수 있도록 지원하는 소프트웨어입니다. Privileged Remote Access는 관리자가 중요 시스템에 안전하게 접속하여 관리 작업을 수행할 수 있도록 지원하는 솔루션입니다.
• 영향: 이번 취약점은 두 제품 모두에 영향을 미치므로, 해당 제품을 사용하는 모든 조직은 즉시 패치를 적용해야 합니다. 이러한 제품들은 중요 시스템 접근에 사용되기 때문에 공격 성공 시 피해 규모가 클 수 있습니다.

4️⃣ 패치 및 대응 방안

• BeyondTrust는 해당 취약점에 대한 패치를 발표했습니다. 해당 제품을 사용하는 모든 사용자는 최신 버전으로 업데이트하여 취약점을 해결해야 합니다.
• 보안 업데이트 외에도, 방화벽 설정 강화, 시스템 모니터링, 침입 탐지 시스템 구축 등 추가적인 보안 조치를 통해 위험을 완화할 수 있습니다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=167118