Ivanti Connect Secure의 중대한 취약점(CVE-2025-22457)이 중국 관련 APT 그룹 에 의해 공격을 받았음이 보고 되고 있습니다. (출처:TeamT5 블로그)
최초의 악용 사례는 2025년 3월로 거슬러 올라갑니다. 그 후 4월에 집중 공격을 한 이 공격자는 6월까지도 공격을 멈추지 않고 있습니다. 한국에서는 통신, 언론, 방산, 금융, 게임업체 등 아직까지 패치를 완료하고 있지 못한 업체들을 중심으로 최소 15사 이상이 위험에 노출되었던 것으로 알려지고 있습니다.
CVE-2025-22457은 Ivanti Connect Secure의 스택 버퍼 오버플로우 취약점으로 CVSS 점수 9.8을 기록했습니다. CVE-2025-22457의 성공적인 악용은 위협 행위자가 원격 코드 실행을 달성하여 내부 네트워크 침투 및 악성 코드 삽입으로 이어질 수 있습니다. Ivanti는 2월 11일에 출시된 버전 1.2.22.7R2.6에서 해당 취약점을 수정했으며, 4월 3일에 보안 권고문을 발표했습니다. CVE-2025-22457에 대한 공개 보고서는 동일한 시기에 발표되었습니다.
영향을 받은 제품 5 Pulse Connect Secure 9.1x (EoS), Ivanti Connect Secure ( Secure, ZTA Gateways)
Ivanti는 CVE-2025-22457의 공식 패치를 출시했습니다: https://forums.ivanti.com/s/article/April-Security-Advisory-Ivanti-Connect-Secure-Policy Secure-ZTA-Gateways-CVE-2025-22457?language=en_US.
위협 행위자는 CVE-2025-22457을 악용해 Ivanti Connect Secure에서 스택 버퍼 오버플로우를 유발할 수 있으며, 이는 웹 프로세스 크래시를 초래합니다.
CVE-2025-22457의 악용은 웹 프로세스 중단을 초래합니다. 따라서 웹 관리 인터페이스에서 웹 프로세스 중단이 발생했는지 확인할 필요가 있습니다. URL: https://IVANTI_WEB_ADMIN/dana-admin/log/logviewr.cgi 인터페이스에는 웹 프로세스 중단이 발생했을 경우 “Program web recently failed.”라는 메시지가 표시됩니다.
인텔리젼스 회사인 대만의 TeamT5는 중국 관련 APT 그룹이 2025년 3월부터 SPAWN 패밀리를 사용하여 CVE-2025-22457을 적극적으로 악용해 왔다고 밝혔습니다.
그러나 피해자 스스로는 공격에 사용된 악성 소프트웨어를 탐지하기 어렵다는 점이 확인되었습니다. 탐지의 어려움으로 인해 별도로 SPAWNCHIMERA를 탐지하기 위한 파이썬 기반 스캐너를 사용하거나 일부 리눅스 EDR 제품에서 추가된 Rule 기반으로 탐지할 수 있습니다.
추가 문의사항: sales@psymont.com