[Career history]
- There will be no updates
during the project period
from June to November.
- Information security consultant : 1 Year
> Penetration testing
> Infrastructure diagnosis
> Personal information
- Cyber security monitoring : 1.5 Year
- Symantec Engineer : 1.9 Year
CVE-2025-22457은 Ivanti의 Connect Secure, Policy Secure, ZTA Gateways 및 Pulse Connect Secure 제품에서 발견된 치명적인 스택 기반 버퍼 오버플로우 취약점입니다.이 취약점은 인증되지 않은 원격 공격자가 악의적인 코드를 실행할 수 있게 하며, 실제로 악용 사례가 보고되었습니다.
🔍 주요 정보 요약
취약점 설명: 스택 기반 버퍼 오버플로우로 인해 인증되지 않은 원격 공격자가 악의적인 코드를 실행할 수 있습니다.
영향을 받는 제품 및 버전:
Ivanti Connect Secure: 22.7R2.5 및 이전 버전
Pulse Connect Secure (지원 종료): 9.1R18.9 및 이전 버전
Ivanti Policy Secure: 22.7R1.3 및 이전 버전
ZTA Gateways: 22.8R2 및 이전 버전
패치 정보:
Ivanti Connect Secure: 22.7R2.6
Policy Secure: 22.7R1.4
ZTA Gateways: 22.8R2.2
🛡️ 공격자 및 악용 사례
이 취약점은 중국과 연계된 것으로 추정되는 사이버 스파이 그룹 UNC5221에 의해 악용되었습니다.이들은 Ivanti Connect Secure 장비를 대상으로 다음과 같은 악성 소프트웨어를 배포했습니다:
CVE-2025-24813은 Apache Tomcat에서 발견된 치명적인 원격 코드 실행(RCE) 취약점으로, 2025년 3월 10일에 공개되었습니다.이 취약점은 특정 조건 하에서 인증 없이 악의적인 사용자가 서버에 악성 파일을 업로드하고 이를 실행시켜 시스템을 장악할 수 있게 합니다.
🔍 취약점 개요
취약점 이름: CVE-2025-24813
영향을 받는 버전:
Apache Tomcat 9.0.0.M1 ~ 9.0.98
Apache Tomcat 10.1.0-M1 ~ 10.1.34
Apache Tomcat 11.0.0-M1 ~ 11.0.2
CVSS v3.1 점수: 9.8 (치명적)
공격 조건:
DefaultServlet의 쓰기 권한이 활성화되어 있어야 함 (기본값: 비활성화)
Partial PUT 요청이 허용되어 있어야 함 (기본값: 활성화)
Tomcat의 파일 기반 세션 저장소를 기본 위치에서 사용하고 있어야 함
취약한 Java 역직렬화 라이브러리가 포함되어 있어야 함
⚙️ 취약점 작동 방식
공격자는 Base64로 인코딩된 악성 Java 직렬화 페이로드를 포함한 PUT 요청을 서버에 전송하여 세션 파일로 저장합니다.
이후, 공격자는 JSESSIONID 쿠키를 통해 해당 세션 파일을 참조하는 GET 요청을 보내어 Tomcat이 해당 파일을 역직렬화하도록 유도합니다.
역직렬화 과정에서 악성 코드가 실행되어 공격자가 서버를 제어할 수 있게 됩니다.
🛡️ 대응 방안
업데이트 권장 버전:
Apache Tomcat 9.0.99 이상
Apache Tomcat 10.1.35 이상
Apache Tomcat 11.0.3 이상
임시 대응책:
DefaultServlet의 쓰기 권한을 비활성화합니다.
Partial PUT 요청을 비활성화합니다.
파일 기반 세션 저장소 대신 메모리 기반 저장소를 사용하거나, 세션 저장 위치를 변경합니다.
취약한 역직렬화 라이브러리를 제거하거나 최신 버전으로 업데이트합니다.
🚨 현재 상황
공개된 이후, CVE-2025-24813은 실제 공격에 활용되고 있으며, 미국, 일본, 멕시코, 한국, 호주 등 여러 국가에서 악용 시도가 관찰되었습니다.CISA는 이를 "Known Exploited Vulnerabilities Catalog"에 추가하여 연방 기관에 즉각적인 조치를 권고하고 있습니다.
- 스텔스형(backdoor stealth) - 커널 레벨에서 동작 - 포트 오픈 없이 명령 수신 - 트래픽 흔적 없이 C2 서버 통신 가능
공격자 연계
일부 변종은 중국 APT 그룹과 연관성 제기됨
2. 기술적 특징 요약
기능
설명
포트 바인딩 회피
일반적인 백도어처럼 오픈 포트를 열지 않음
패킷 필터링 활용
리눅스 BPF(Berkeley Packet Filter)를 악용해 네트워크 트래픽을 감시
특정 패턴 패킷 수신
공격자가 특정 "마법 패턴" 패킷을 보내면 백도어가 명령 수신을 시작
C2 연결 은폐
정상 트래픽으로 위장하거나 ICMP 등 비표준 경로 사용
루트킷형 은폐
일부 변종은 프로세스 목록에서도 존재 자체를 숨김
🔥 요약: "아무것도 열려 있지 않은 것처럼 보이지만, 내부는 뚫려 있다." → 전통적인 방화벽, IDS, 포트 스캐닝으로는 탐지 거의 불가.
3. 국내 통신망 위협 전망
항목
예상 위협
국내 통신사 리눅스 서버 취약점
BPF도어는 특정 애플리케이션 취약점이 아닌, 시스템 기반 취약성 악용 → 통신사, IDC, 클라우드 운영 리눅스 서버 대량 노출 가능성
APT 공격 경로 다양화
공격자들은 직접적 침투가 아니라 BPF도어를 통한 은폐·장기 침투형 전략을 계속 강화할 것
해외 C2 서버 이용 증가
위협 그룹은 국내망 탐지 피하기 위해 중국, 홍콩, 러시아 IP 활용하여 통신 흐름 위장 예상
2차 피해 우려
단순 유심 정보 유출을 넘어서, IP, 계정, 이메일, 인증서 등 추가 자산 유출 가능성 존재
공공기관 확산 리스크
통신 인프라 외에도 공공기관, 금융권, 에너지망까지 공격 확산 가능성 → "국가 기반시설 리스크"로 확대 우려
🛡️ 향후 필요한 대응 전략
대응 방향
설명
리눅스 커널 보안 강화
BPF 필터링 권한 통제, 커널 업데이트 주기 단축
서버 계정 보안 강화
루트 계정 사용 최소화, 다중 인증(MFA) 도입
네트워크 거버넌스 강화
비인가 트래픽 탐지 강화 (ex. 스니핑 패턴 감시)
포렌식 기반 점검 체계 구축
탐지 불가한 은닉형 백도어에 대비해 정기 포렌식 진단 필수
위협 인텔리전스 강화
해외 C2 서버 관련 IP, 도메인 위협정보 지속 수집·차단
트렌드마이크로의 보고서에 따르면, BPFDoor는 고도로 은밀한 리눅스 기반 백도어로, 주로 아시아 및 중동 지역의 통신, 금융, 소매 산업을 표적으로 삼고 있습니다.이 악성코드는 Berkeley Packet Filter(BPF)를 활용하여 방화벽을 우회하고 탐지를 회피하며, '매직 패킷'을 통해 활성화됩니다.
BPFDoor의 주요 특징
BPF 기반 통신 감시: BPFDoor는 커널 수준에서 네트워크 패킷을 필터링하여, 특정 매직 바이트 시퀀스를 포함한 패킷을 감지하면 활성화됩니다.이러한 방식은 방화벽 규칙을 우회하고, 포트 스캔에도 탐지되지 않도록 합니다.
은폐 및 지속성: 프로세스 이름 변경, 포트 리스닝 비활성화, 메모리 상에서의 실행 등 다양한 기법을 통해 탐지를 회피하며, 장기간 시스템에 머무를 수 있습니다.
다양한 통신 프로토콜 지원: TCP, UDP, ICMP를 통한 명령 제어를 지원하여, 다양한 네트워크 환경에서도 유연하게 작동합니다.
새로운 컨트롤러의 발견
트렌드마이크로는 최근 BPFDoor와 연계된 새로운 컨트롤러를 발견하였습니다.이 컨트롤러는 다음과 같은 기능을 제공합니다:
역방향 셸 생성: 감염된 시스템에서 공격자에게 역방향 셸을 열어, 원격 제어를 가능하게 합니다.
연결 리디렉션: 특정 포트로의 연결을 리디렉션하여, 추가적인 시스템 침투를 시도합니다.
활성 상태 확인: 백도어의 활성 상태를 확인하여, 지속적인 제어를 유지합니다.
이 컨트롤러는 하드코딩된 매직 시퀀스와 비밀번호를 사용하며, 공격자는 이를 수동으로 설정할 수 있습니다.또한, 연결 시 암호화를 지원하여 통신의 보안을 강화합니다.
공격 대상 및 활동
BPFDoor는 주로 다음 국가의 산업을 표적으로 삼고 있습니다:
대한민국: 통신 산업
홍콩: 통신 산업
미얀마: 통신 산업
말레이시아: 소매 산업
이집트: 금융 산업
이러한 공격은 주로 리눅스 서버를 대상으로 하며, 다양한 경로를 통해 악성코드를 숨기고 있습니다.
방어 및 탐지 방법
BPFDoor의 탐지를 위해 다음과 같은 방법을 고려할 수 있습니다:
네트워크 패킷 모니터링: 특정 매직 시퀀스를 포함한 패킷을 감지하여, 비정상적인 활동을 탐지합니다.
시스템 프로세스 감시: 비정상적인 프로세스 이름 변경이나 포트 리스닝 비활성화 등의 행위를 모니터링합니다.
보안 솔루션 활용: 트렌드마이크로의 TippingPoint 침입 방지 시스템 및 Deep Discovery Inspector와 같은 보안 솔루션을 활용하여, BPFDoor의 활동을 탐지하고 차단할 수 있습니다.
"버클리 패킷 필터(Berkeley Packet Filter, BPF)"에서 **"버클리(Berkeley)"**는 **캘리포니아 대학교 버클리 캠퍼스(UC Berkeley)**를 의미합니다. 이 기술은 1992년에 UC 버클리의 연구자들이 개발했기 때문에 그 이름이 붙은 것입니다.
그렇다면 "버클리 패킷"이란 게 실제로 존재하느냐?
아니요. "버클리 패킷"이라는 특정한 종류의 패킷은 존재하지 않습니다.
여기서 "버클리"는 단지 이 필터링 기술의 출처를 의미하고, "패킷 필터"는 네트워크 패킷을 검사해서 걸러내는 기술을 의미합니다.
다양한 명칭: 이 그룹은 Earth Bluecrow, Red Dev 18, DecisiveArchitect 등으로도 알려져 있습니다.
주요 타깃: 통신사, 정부 기관, 교육 기관, 물류 회사 등 다양한 산업 분야를 대상으로 활동하며, 특히 리눅스 및 솔라리스 시스템을 중심으로 공격을 수행합니다.
사용 도구: BPFDoor 외에도 Mangzamel, Gh0st RAT 등의 맞춤형 악성코드와 Mimikatz, Metasploit 등 오픈 소스 도구를 활용하여 공격을 수행합니다.
공격 인프라: 공격 명령은 종종 대만에 위치한 라우터를 통해 제어되는 VPS를 통해 전달되며, 이를 통해 감염된 시스템과의 통신을 유지합니다.
🕵️ BPFDoor와의 연관성
Red Menshen은 BPFDoor라는 백도어를 통해 감염된 시스템에 대한 원격 제어를 수행합니다. BPFDoor는 **Berkeley Packet Filter(BPF)**를 활용하여 네트워크 트래픽을 감시하고, 특정한 매직 시퀀스를 포함한 패킷을 감지하면 활성화됩니다. 이를 통해 방화벽을 우회하고 탐지를 회피하며, 역방향 셸 생성, 포트 리디렉션, 활성 상태 확인 등의 기능을 수행합니다.
🎯 활동 시간대 및 패턴
활동 시간: Red Menshen의 활동은 주로 월요일부터 금요일까지, UTC 기준 01:00~10:00 사이에 집중되어 있으며, 이는 중국의 표준 근무 시간대와 일치합니다.
지속성: BPFDoor는 시스템에 장기간 은밀하게 존재하며, 탐지를 회피하는 다양한 기법을 사용합니다.
악성코드 경로: /tmp/zabbix_agent.log,/bin/vmtoolsdsrv,/etc/sysconfig/rhn/rhnsd.conf 등
📌 요약
Red Menshen은 중국 기반의 APT 그룹으로, BPFDoor 백도어를 활용하여 다양한 산업 분야를 대상으로 사이버 스파이 활동을 수행합니다. 이들은 고급 기술과 은밀한 작전으로 감염된 시스템을 장기간 통제하며, 방화벽 우회 및 탐지 회피 기법을 통해 보안 시스템을 무력화합니다.
정보보안 또는 네트워크 분야에서 **매직 패킷(Magic Packet)**은 주로 원격에서 컴퓨터를 켜는 데 사용되는 특수한 형식의 데이터 패킷을 의미합니다. 이 개념은 Wake-on-LAN(WoL) 기술과 밀접하게 연관되어 있습니다.
🔌 1. 매직 패킷(Magic Packet)이란?
"매직 패킷"은 특정 MAC 주소를 여러 번 반복하는 형식으로 구성된 데이터 패킷이며, 이를 통해 네트워크 상에서 꺼져 있는 컴퓨터를 원격으로 켤 수 있습니다.
삼성전자의 디지털 사이니지 관리 솔루션인 MagicINFO 9에서 발견된 심각한 보안 취약점 CVE-2024-7399이 최근 실제 공격에 악용되고 있습니다.이 취약점은 인증 없이 원격에서 악성 코드를 실행할 수 있게 해주며, 이를 통해 공격자는 시스템 권한으로 서버를 완전히 장악할 수 있습니다.
🔍 취약점 개요: CVE-2024-7399
취약점 유형: 경로 탐색(Path Traversal) 및 위험한 파일 업로드
영향받는 버전: MagicINFO 9 Server 21.1050 미만 버전
공격 방식:
공격자는 인증 없이 JSP(JavaServer Pages) 파일을 서버에 업로드할 수 있습니다.
업로드된 JSP 파일을 통해 임의의 명령어를 실행하여 서버를 제어할 수 있습니다.
공개 및 패치: 삼성전자는 2024년 8월 해당 취약점을 공개하고, 버전 21.1050에서 이를 수정했습니다.
🚨 최근 공격 동향
PoC 공개와 공격 증가: 2025년 4월 30일, 보안 연구 그룹 SSD-Disclosure가 PoC(개념 증명) 코드를 공개한 이후, 실제 공격 사례가 급증했습니다.
Mirai 봇넷 악용: 일부 공격자는 이 취약점을 이용해 Mirai 봇넷 변종을 배포하고 있습니다. 이를 통해 감염된 시스템을 DDoS 공격 등에 활용하고 있습니다.
공격 대상: 공항, 병원, 소매점 등에서 사용되는 디지털 사이니지 시스템이 주요 공격 대상입니다.
✅ 대응 방안
즉시 업데이트: MagicINFO 9 Server를 버전 21.1050 이상으로 업그레이드하여 취약점을 패치하십시오 .
인터넷 노출 제한: MagicINFO 서버가 외부에 노출되지 않도록 방화벽 설정을 강화하고, 필요 시 VPN 등을 통해 접근을 제한하십시오.
보안 모니터링 강화: 서버 로그를 정기적으로 확인하고, 의심스러운 JSP 파일 업로드나 비정상적인 명령 실행 흔적이 있는지 점검하십시오.
네트워크 분리: 디지털 사이니지 시스템과 내부 네트워크를 분리하여, 공격자가 내부 시스템으로 이동하는 것을 방지하십시오.
📌 참고 사항
현재 약 5,000여 개의 MagicINFO 서버가 인터넷에 노출되어 있는 것으로 파악됩니다.
삼성전자는 해당 취약점에 대한 보안 공지를 공식 웹사이트에 게시하고 있습니다.
🔧 공격 개요
이 취약점은 경로 탐색(Path Traversal) 과 파일 업로드 검증 미비를 조합하여, 인증 없이 악성 JSP 웹쉘을 업로드하고 실행할 수 있게 해줍니다. 공격자는 이를 통해 원격 코드 실행(RCE) 을 달성할 수 있습니다.
🧨 공격 흐름 (Step-by-Step)
취약한 업로드 엔드포인트 식별
MagicINFO에는 인증 없이 접근 가능한 업로드 API가 존재합니다.
/MagicInfo/uploadify.do 또는 이와 유사한 엔드포인트에서 파일 업로드를 시도합니다.
파일명에 경로 조작 삽입
파일명을 다음과 같이 조작합니다:
bash
../../../webapps/MagicInfo/jspShell.jsp
이는 경로 탐색(../)을 통해, 업로드된 파일이 JSP 웹 루트 하위에 저장되도록 유도합니다.
