Ivanti Connect Secure VPN 취약점(CVE-2025-22457) 분석 및 대응 전략

2025년 4월, Ivanti의 Connect Secure VPN 장비에서 원격 코드 실행(RCE)이 가능한 치명적인 취약점(CVE-2025-22457)이 발견되어 보안 커뮤니티에 큰 충격을 주었습니다. 이 취약점은 이미 중국 정부와 연계된 것으로 추정되는 위협 그룹 UNC5221에 의해 악용되고 있습니다.

---

해당 취약점은 스택 기반 버퍼 오버플로우로, 인증되지 않은 공격자가 악의적으로 조작된 패킷을 통해 장비를 완전히 장악할 수 있습니다. 영향을 받는 제품은 다음과 같습니다:

• Ivanti Connect Secure 22.7R2.5 이하 버전
• Pulse Connect Secure 9.x (2024년 12월 지원 종료)
• Ivanti Policy Secure 및 Neurons for ZTA 게이트웨이

Ivanti는 2025년 2월에 보안 패치를 배포했지만, 패치 분석을 통해 구형 버전에 대한 익스플로잇이 개발되어 3월부터 본격적인 공격이 시작되었습니다. 공격자는 TRAILBLAZE 및 BUSHFIRE와 같은 맞춤형 악성코드를 배포하여 장비를 장악하고 있습니다.

---

공격의 특징 및 위협 요소

• 공격자 그룹: UNC5221 (중국 정부와 연계된 것으로 추정)
• 공격 수단: 스택 기반 버퍼 오버플로우를 통한 RCE
• 배포된 악성코드: TRAILBLAZE (메모리 내 드로퍼), BUSHFIRE (패시브 백도어)
• 영향 범위: 전 세계적으로 5,000개 이상의 Ivanti VPN 장비가 취약 상태

이러한 공격은 단순한 시스템 침해를 넘어, 지속적인 정보 탈취 및 스텔스형 침투로 이어질 수 있어 각별한 주의가 필요합니다.

---

조치 사항 및 대응 전략

• 최신 패치 적용: Ivanti Connect Secure 22.7R2.6 이상 버전으로 업데이트
• Integrity Checker Tool 활용: Ivanti에서 제공하는 도구로 시스템 무결성 확인
• 로그 및 트래픽 분석: 이상 징후 탐지를 위한 지속적인 모니터링
• 구형 장비 교체: 지원이 종료된 Pulse Connect Secure 9.x 장비는 즉시 교체 권장

또한, CISA는 해당 취약점을 Known Exploited Vulnerabilities Catalog에 추가하고, 연방 기관 및 기업에 긴급 패치 적용을 권고하고 있습니다.

 

---

도움이 되셨다면 댓글이나 구독 부탁드립니다! 🙏