이반티, 사이버 공격 CVE 공개 ‘눈길’
‘커넥트 시큐어’, 폴리시 시큐어, ZTA 게이트웨이 등 공격 두 가지 취약점, ‘CVE-2025-0282’, ‘CVE-2025-0283’ 공개 “심각한 이반티 결함 악용, 일시 오프라인 전환도 방법” 조언
[애플경제 이지향 기자] 사이버 범죄자들은 VPN으로도 유명한 IT솔루션 기업 이반티를 RCE(원격코드실행) 등으로 집중 공격하기도 한다. 특히 이반티 ‘커넥트 시큐어’(Ivanti Connect Secure) 등 이 회사의 보안 앱을 공격하기 위해 심각한 RCE 결함을 적극 악용하기도 한다. 지난해 1월과 6월에도 유사한 사례가 일어나 사용자들을 긴장하게 했다.
이반티는 이에 연초부터 자사의 보안 장치를 공격하는 대표적인 2가지 버퍼 오버플루 CVE에 대한 세부적인 정보를 공개, 관심을 끌고 있다. 널리 사용 중인 ‘커넥트 시큐어’를 비롯, 폴리시 시큐어(Policy Secure), ZTA 게이트웨이(ZTA Gateways) 등을 노리는 CVE의 세부 정보를 게시하면서, “사이버 범죄자들이 이미 이를 악용하고 있다”고 주장했다.
인증 안된채 피해자 기기서 코드 실행
그 중 첫 번째 결함인 CVE-2025-0282는 원격의 인증되지 않은 공격자가 피해자의 기기에서 코드를 실행할 수 있도록 하는 스택 기반 버퍼 오버플로 취약성이다. 이는 아직 글로벌 취약성 감시 기관인 미국의 NVD(국립 취약점 데이터베이스) 평가는 받지 않았다. 그러나 CVSS에선 심각도 등급 9.0을 부여받았다.
두 번째 취약성인 CVE-2025-0283도 스택 기반 버퍼 오버플로다. 이는 로컬 인증된 공격자가 대상 기기에서 권한을 확대할 수 있도록 한다. RCE 결함보다 심각하지 않은 것으로 간주되는 CVE-2025-0283은 CVSS에서 7.0(높음) 등급을 받았다.
이반티사의 블로그 안내 공지를 보면 소수의 사용자들의 경우 ‘커넥스 시큐어’ 앱이 CVE-2025-0282를 사용한 공격을 당하고 있다. 다만 ‘폴리시 시큐어’나 ‘ZTA 게이트웨이’에 대한 공격에 이를 사용한 증거는 없는 것으로 알려졌다.
이반티와 함께 마이크로소프트의 ‘위협 인텔리전스 센터’(MSTIC), 그리고 맨디언트 블로그 게시물에 따르면, 범죄자들은 지난해 12월 중순부터 CVE-2025-0282를 악용하는 사례가 관찰되고 있다. 이들의 공동 조사에 따르면 특히 사용자들의 인스턴스를 노려 공격하는 ‘UNC5337’과 다양한 종류의 ‘SPAWN’ 맬웨어 그룹이 배포되고 있으며, 이들은 ‘중국-넥서스 간첩 활동 클러스터’”라는 설명이다.
‘UNC5337’, 다양한 ‘SPAWN’ 맬웨어 그룹 배포
맨디안트 역시 “이 그룹이 2023년 후반과 2024년 내내 이반티 VPN의 취약점을 악용한 것으로 알려진 대형 ‘UNC221’ 멜웨어 클러스터의 일부일 것으로 의심한다”고 덧붙였다. 그래서 이 회사는 “이반티의 외부 무결성 검사 도구(ICT)를 실행, 기기의 현재 상태를 실시간으로 스냅샷으로 제공하는 것이 좋다”면서 “이반티는 CVE-2025-0282를 악용, 침해하고 있는지를 확인할 수 있다”고 밝혔다.
이반티는 이들 2가지 결함에 대한 패치를 출시했다. 그러나 CVE는 ‘이반티 폴리시 시큐어’, ‘ZTA 게이트웨이’에 대해선 아직 패치되지 않았으며, 1월 21일까지 출시될 예정이다. 공격 표면 관리 전문 기업 ‘워치타워’사는 이에 “기업으로선 2024년 초에 일어난 이반티에 대한 사이버공격의 재발을 극도로 경계하고 있다”고 분석했다.
보안업체 ‘워치타워’도 블로그를 통해 “이는 특히 보안 앱에 대한 제로데이 공격을 위한 APT 악용 등 모든 공격 수법을 망라하고 있기 때문에 더욱 우려스럽다”고 했다. 지난해 1월에 벌어진 이반티 제품에 대한 공격으로부터 교훈을 얻고 대비하길 바랄 뿐이란 얘기다.
그럼에도 정작 이반티는 ‘폴리시 시큐어’나 ‘ZTA 게이트웨이’에 대한 이렇다할 개선이나 수정 사항이 없다는 지적이다. 이에 “보안에 취약한 장치를 잠시 오프라인으로 전환하는 것도 기업의 선택지”라는 조언도 있다.
그나마 이반티 ‘커넥스 시큐어’ 사용자는 패치를 사용할 수 있지만, 이반티의 ‘폴리시 시큐어’나 ‘ZTA 게이트웨이’용 뉴런즈처럼 다른 (사이버공격의) 영향을 받는 기기는 패치를 받기까지 3주가 걸린다는 지적이다. 이에 “이들 제품의 사용자는 주저하지 말고 패치가 제공될 때까지 이러한 기기를 오프라인으로 전환해야 한다”라는 충고도 이어지고 있다.