이반티(Ivanti)가 커넥트 시큐어(Connect Secure) 플랫폼의 심각한 제로데이 취약점(CVE-2025-0282)을 해커들이 악용해 악성코드를 설치하는 공격이 발생했다고 밝혔다. 이번 취약점은 원격 코드 실행이 가능한 스택 기반 버퍼 오버플로우 취약점으로, 심각도 점수 9.0을 기록하며 그 위험성이 매우 높다.
이 취약점은 Connect Secure 22.7R2.5 이전 버전, Policy Secure 22.7R1.2 이전 버전, Neurons for ZTA 게이트웨이 22.7R2.3 이전 버전에 영향을 미친다. 이를 악용하면 인증되지 않은 공격자가 원격에서 코드를 실행할 수 있어 시스템에 심각한 위협이 된다.
이반티는 Integrity Checker Tool(ICT)을 통해 일부 고객 장비에서 악성 활동이 탐지된 후, 해당 취약점을 발견했다고 밝혔다. 조사 결과, CVE-2025-0282가 제로데이 공격에 악용되고 있었으며, 주로 Connect Secure 장비를 표적으로 삼은 것으로 확인됐다.
이반티는 “현재 소수의 Connect Secure 장비에서 CVE-2025-0282가 악용된 사례를 확인했다”라며, Policy Secure나 Neurons for ZTA 게이트웨이에서는 아직 공격 사례가 보고되지 않았다고 설명했다.
이반티는 Connect Secure를 위한 긴급 보안 패치를 배포했으며, 이 패치는 펌웨어 버전 22.7R2.5에서 적용된다. Policy Secure와 Neurons for ZTA 게이트웨이의 패치는 2025년 1월 21일에 제공될 예정이다.
Policy Secure의 경우, 인터넷에 노출되지 않도록 설정하면 위험이 크게 줄어든다고 강조했다. Neurons for ZTA 게이트웨이는 ZTA 컨트롤러에 연결되지 않은 상태에서만 취약점이 악용될 수 있다.
이반티는 관리자가 다음과 같은 조치를 취할 것을 권장했다:
-취약점 스캔: Integrity Checker Tool을 사용해 내부 및 외부 장비를 검사할 것.
-공장 초기화: 감염 흔적이 발견되지 않은 경우, 공장 초기화 후 22.7R2.5로 업그레이드.
-악성코드 제거: 감염된 경우 공장 초기화를 통해 악성코드를 제거한 후 업데이트를 진행.
CVE-2025-0282 외에도, 아이반티는 인증된 로컬 공격자가 권한을 상승시킬 수 있는 CVE-2025-0283 취약점도 수정했다. 이 취약점은 현재까지 악용된 사례가 없는 것으로 확인됐다.
이반티는 멘티언트(Mandiant)와 마이크로소프트 위협 인텔리전스 센터(Microsoft Threat Intelligence Center)와 협력해 이번 공격의 세부적인 내용을 조사 중이다. 아직 악용된 악성코드에 대한 구체적인 정보는 공개되지 않았지만, 조사 결과가 나오는 대로 추가 업데이트를 제공할 예정이다.
이번 사건은 2024년 10월에 보고된 Cloud Services Appliance(CSA)의 세 가지 제로데이 취약점 악용 사건 이후, 아이반티 제품이 지속적으로 공격자들의 표적이 되고 있음을 보여준다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
![[주의] 포스페이스 라우터 취약점 악용한 미라이 변종, 글로벌 DDoS 공격 확산](https://www.dailysecu.com/news/photo/202501/162875_190941_212.jpg)
