728x90
반응형
내용 요약
중국 해킹 조직 UNC5221이 CVE‑2025‑22457 취약점을 통해 2025년 4월부터 Ivanti Connect Secure 장비를 노려 한국 기업·기관(※SKT, SK 계열사 10곳, KT, KSNET 등)과 베트남 정부기관을 공격했습니다. 이번 공격은 8월 8일에 확인되었으며, 사전 CTI 분석을 통해 정황이 파악됐습니다.
핵심 포인트
- UNC5221: 중국 기반 악성 해킹 조직, 지속적 스캔·공격으로 대규모 인프라 침해.
- CVE‑2025‑22457: Ivanti Connect Secure(보안 게이트웨이)의 인증 우회·원격 코드 실행 취약점.
- 국내 CTI 분석: 보안기업이 수집·분석한 비공개 인텔리전스가 공격 경로와 피해 범위를 조기에 예측.
기술 세부 내용
1️⃣ UNC5221
- 배경: 2019‑2023년 사이에 다양한 국가·기업을 대상으로 정밀 스캔과 악성 코드를 배포한 그룹.
- 공격 방식:
1️⃣ 취약점 스캐너로 대상 시스템 탐지 → 2️⃣ CVE‑2025‑22457 이용해 인증 우회 → 3️⃣ RCE(원격 코드 실행)로 쉘 획득 → 4️⃣ 내부망 이동 및 데이터 외부 유출. - 대응: Ivanti 패치(2025‑05‑01 배포) 적용과 내부 네트워크 세분화, 접근 제어 강화가 필수.
2️⃣ CVE‑2025‑22457
- 취약점 개요: Ivanti Connect Secure 8.0‑9.0에서 발생한 리프 포인터 오류로, 인증 없이 임의 코드를 실행 가능.
- 공격 흐름:
1️⃣ 공격자는 HTTPS POST 요청을 조작 → 2️⃣ 취약한 스레드에 버퍼 오버플로우 발생 → 3️⃣ 메모리 덤프 및 스택 오염 → 4️⃣ 악성 DLL 삽입 → 5️⃣ 쉘코드 실행. - 패치 적용 포인트:
vfw.dll내부 버퍼 처리 로직 수정, 입력 검증 강화. - 예방 조치:
- 최신 패치(버전 9.1.0) 즉시 적용.
maxRequestSize설정 최소화.- 외부망과 내부망 분리 및 VPN 인증 강화.
3️⃣ Ivanti Connect Secure
- 역할: VPN/SSO 게이트웨이로, 대기업·기관에서 외부 접근 통제에 사용.
- 보안 위협: 취약점이 공용 포트(443)에 노출되면, 내부망으로의 완전한 침입이 가능.
- 보안 모범 사례:
- 다단계 인증(MFA) 필수 적용.
- 세분화된 정책(앱별 접근 제한).
- 모니터링: 실시간 로그 분석 및 이상 징후 알림(CTI 연동).
이상으로 UNC5221의 공격 흐름과 CVE‑2025‑22457의 기술적 취약점, 그리고 Ivanti Connect Secure의 보안 방어 포인트를 정리했습니다. 1500자 이내로 핵심을 압축해 전달합니다.
출처: http://www.dailysecu.com/news/articleView.html?idxno=169220
728x90
반응형
SMALL
'보안이슈' 카테고리의 다른 글
| [데일리시큐]윈도우10, 지원 종료 D-47일…한국 공공·기업에 다가오는 보안 시한폭탄 (0) | 2025.09.04 |
|---|---|
| [데일리시큐]"중국 3개 기업, ‘솔트 타이푼’ 연계 해킹 배후로 지목…전세계 80여 개국 통신사 집중 공격" (0) | 2025.09.04 |
| [데일리시큐][긴급] 시트릭스 넷스케일러 제로데이 취약점 사이버 공격에 악용…전 세계 2만8천여 대 장비 위협에 노출 (0) | 2025.09.04 |
| [데일리시큐]해커그룹 ‘스톰-0501’, 클라우드 전용 랜섬웨어로 전환…백업 파괴·데이터 암호화·탈취까지 (0) | 2025.09.04 |
| [데일리시큐]왓츠앱 제로데이 취약점, 애플 이미지IO 제로데이와 결합해 iOS·Mac 사용자 공격 (0) | 2025.09.04 |