심각도 점수 9.1점…즉각 조치해야
[데이터넷] 이반티의 VPN 취약점으로 전 세계 1700개 이상 기기가 공격에 이용된 것으로 나타났다.
이 취약점은 보안 기업 볼렉시티(Volexity)가 지난달 처음 발견해 경고했으며, 이반티를 포함한 여러 보안 기업, 미국 CISA 등이 조사에 참여했다. 이반티 커넥트 시큐어(ICS) VPN 어플라이언스의 제로데이 취약점 CVE-2024-21887와 CVE-2023-46805이 전 세계 조직 1700개 이상을 감염시켰으며, 현재도 공격 범위가 빠르게 확장되고 있는 것으로 나타났다. 다라서 이반티 ICS VPN을 사용하는 조직은 이반티에서 지난주 배포한 무결성 검사 도구를 사용해 즉시 조치를 취해야 한다.
볼렉시티에 따르면 확인된 피해 조직은 글로벌 정부와 군 관련 조직, 통신사, 방산업체, 금융기관, 컨설팅, 항공 우주 등 다양하다. 중소기업부터 포춘 500대 기업까지 피해 조직 규모도 따지지 않는다.
이 사고 조사에 참여한 맨디언트는 중국 UNC5221이 이번 공격의 배후에 있는 것으로 의심하고 있다. 공격자는 취약점을 악용해 침투한 후 시스템 내의 합법적인 파일을 트로이목마로 만들었다. 맨디언트는 이들의 공격 방식이 스파이 행위자가 활용하는 전술이라고 설명하면서 소포스 자회사 사이버롬 VPN 어플라이언스가 C2로 사용된 것을 확인했다고 밝혔다.
또 다른 보안기업 섀도우서버는 CVE-2023-46805취약점에 노출된 인스턴스 6809개를 공개했으며, 또 다른 연구원은 CVE-2024-21887 취약점이 있는 디바이스가 전 세계 9000개에 이른다고 밝혔다.
CVE-2023-46805는 심각도 점수 8.2로, 통제확인을 우회해 제한된 리소스에 액세스 할 수 있다. CVE-2024-21887는 공격자가 장치에 명령을 보낼 수 있으며, 심각도 점수는 9.1다. 이반티는 이번 취약점 악용으로 최소 10곳의 고객이 영향을 받았다고 밝혔다.
이반티는 첫번째 패치는 1월 22일에 배포할 계획이며, 공격자들이 계속 진화하고 있으니 미티게이션을 진행하거나 외부 무결성 검사툴을 사용해 시스템 손상 여부를 확인해야 한다고 설명했다.
