CVE-2025-22457은 Ivanti의 Connect Secure, Policy Secure, ZTA Gateways 및 Pulse Connect Secure 제품에서 발견된 치명적인 스택 기반 버퍼 오버플로우 취약점입니다. 이 취약점은 인증되지 않은 원격 공격자가 악의적인 코드를 실행할 수 있게 하며, 실제로 악용 사례가 보고되었습니다.

🔍 주요 정보 요약

  • 취약점 설명: 스택 기반 버퍼 오버플로우로 인해 인증되지 않은 원격 공격자가 악의적인 코드를 실행할 수 있습니다.
  • 영향을 받는 제품 및 버전:
    • Ivanti Connect Secure: 22.7R2.5 및 이전 버전
    • Pulse Connect Secure (지원 종료): 9.1R18.9 및 이전 버전
    • Ivanti Policy Secure: 22.7R1.3 및 이전 버전
    • ZTA Gateways: 22.8R2 및 이전 버전 
  • 패치 정보:
    • Ivanti Connect Secure: 22.7R2.6
    • Policy Secure: 22.7R1.4
    • ZTA Gateways: 22.8R2.2

🛡️ 공격자 및 악용 사례

이 취약점은 중국과 연계된 것으로 추정되는 사이버 스파이 그룹 UNC5221에 의해 악용되었습니다. 이들은 Ivanti Connect Secure 장비를 대상으로 다음과 같은 악성 소프트웨어를 배포했습니다:

  • TRAILBLAZE: 메모리 내에서만 실행되는 드로퍼로, 추가 악성 코드를 로드합니다.
  • BRUSHFIRE: SSL/TLS 트래픽을 가로채는 수동 백도어로, 특정 문자열이 감지되면 암호화된 페이로드를 실행합니다.
  • SPAWNSLOTH: 로그를 조작하여 관리자에게 공격 흔적을 숨깁니다.

이러한 공격은 주로 Connect Secure 장비에서 관찰되었으며, Policy Secure 및 ZTA Gateways에서는 아직 보고되지 않았습니다.

🛠️ 대응 및 권고 사항

  1. 즉시 패치 적용: 해당 장비를 최신 버전으로 업데이트하여 취약점을 제거하십시오.
  2. 무결성 검사: Ivanti의 Integrity Checker Tool(ICT)을 사용하여 시스템의 무결성을 확인하십시오.
  3. 공장 초기화: 침해가 의심되는 경우, 장비를 공장 초기화하고 클린 이미지를 사용하여 재설치하십시오.
  4. 네트워크 모니터링 강화: 비정상적인 LDAP 쿼리나 VPN 장비에서의 의심스러운 활동을 감지하기 위해 네트워크 트래픽을 모니터링하십시오.
  5. 자격 증명 변경: 관리자 및 서비스 계정의 비밀번호를 변경하고, 불필요한 계정을 비활성화하십시오.

이 취약점은 CISA의 Known Exploited Vulnerabilities(KEV) 목록에 포함되어 있으며, 이에 따라 미국 연방 기관은 2025년 4월 11일까지 대응 조치를 완료해야 했습니다. 

조직에서는 Ivanti의 보안 권고를 참고하여 신속하게 대응하고, 지속적인 모니터링과 보안 강화 조치를 취하는 것이 중요합니다.

https://note.com/josys0901/n/n7e1dec232a37

 

【アメリカ】サイバーセキュリティ政策動向レポート(2025年3月31日〜4月6日)|ジョーシスサ

2025年3月31日〜4月6日のアメリカにおけるサイバーセキュリティ政策動向の注目点と日本企業への示唆は次の通りである。(基準は米国東海岸標準時) 今週の概況 2025年4月第1週、米国政府はNI

note.com

https://www.cvedetails.com/cve/CVE-2025-22457/

 

CVE-2025-22457 : A stack-based buffer overflow in Ivanti Connect Secure before version 22.7R2.6,

CVE-2025-22457 : A stack-based buffer overflow in Ivanti Connect Secure before version 22.7R2.6, Ivanti Policy Secure before version 22.7R1.4, and Ivanti ZTA Gateways

www.cvedetails.com

https://www.cisa.gov/known-exploited-vulnerabilities-catalog?search_api_fulltext=CVE-2025-22457&field_date_added_wrapper=all&field_cve=&sort_by=field_date_added&items_per_page=20&url=

 

Known Exploited Vulnerabilities Catalog | CISA

For the benefit of the cybersecurity community and network defenders—and to help every organization better manage vulnerabilities and keep pace with threat activity—CISA maintains the authoritative source of vulnerabilities that have been exploited in

www.cisa.gov

https://www.techradar.com/pro/security/ivanti-patches-serious-connect-secure-flaw

 

Ivanti patches serious Connect Secure flaw

A new critical severity bug was being used by Chinese actors

www.techradar.com

 

저작자표시 비영리 변경금지 (새창열림)

'정보보안 > 취약점' 카테고리의 다른 글

CVE-2025-24813  (0) 2025.05.27
🧬 BPF도어(BPFDoor) 악성코드 특성 분석  (0) 2025.05.23
2025.5.7., 삼성전자의 디지털 사이니지 관리 솔루션인 MagicINFO 9에서 발견된 취약점  (0) 2025.05.08

티스토리툴바