국가-국가의 적이 최근 Ivanti Cloud Service Appliance (CSA)의 취약점을 악용하여 악의적인 활동을 수행하는 것이 Fortinet FortiGuard Labs에 의해 밝혀졌습니다. 공격자들은 zero-day 취약점을 활용하여 CSA에 불법으로 접속하고 시스템의 사용자를 식별하며 사용자 자격 증명을 획득하려 시도했습니다.
보안 연구원들을 직접 인용하는 대신, 고급 공격자들이 흔히 이러한 취약점을 활용하여 피해자 네트워크 내에서 초기 접근을 확립했음이 명백합니다.
식별된 취약점에는 명령 주입 취약점 (CVE-2024-8190), 경로 순회 취약점 (CVE-2024-8963) 및 인증된 명령 주입 문제 (CVE-2024-9380)이 포함되어 있습니다. 이러한 취약점을 위협 요소들이 명령을 실행하고 시스템을 제어하여 웹 쉘을 배치하는 데 사용했습니다.
또한, 공격자들은 CSA를 침투한 후 Ivanti Endpoint Manager에 영향을 주는 SQL 주입 취약성을 악용했습니다. 이는 원격 코드 실행 기능을 활성화하도록 했으며, 적시에 보안 패치 및 주의가 중요하다는 점을 강조했습니다.
이러한 정교한 사이버 위협에 대항하기 위해 조직은 보안 조치를 우선시하고 정기적인 취약성 평가를 수행하며 잠재적인 침해로부터 중요한 클라우드 서비스를 보호할 수 있도록 신속히 패치를 적용해야 합니다. 진화하는 공격 전술을 파악하고 방어력을 강화하는 것은 클라우드 환경으로의 국가-국가의 침투를 방지하기 위해 필수적입니다.
FAQ 섹션:
1. Ivanti Cloud Service Appliance (CSA)에서 국가-국가의 적이 어떤 취약점을 이용했습니까?
국가-국가의 적은 Ivanti CSA에서 명령 주입 취약점 (CVE-2024-8190), 경로 순회 취약점 (CVE-2024-8963) 및 인증된 명령 주입 문제 (CVE-2024-9380) 등 여러 취약점을 악용했습니다.
2. 공격자들이 CSA에 불법적으로 액세스를 어떻게 얻었습니까?
공격자들은 zero-day 취약점을 활용하여 CSA에 불법으로 접속하고 시스템의 사용자를 식별하며 사용자 자격을 획득하려 시도했습니다.
3. 공격자들이 취약점을 악용한 후 취한 조치는 무엇입니까?
취약점을 악용한 후, 위협 요소들은 명령을 실행하고 시스템을 제어한 후 웹 쉘을 배치했습니다. 또한 Ivanti Endpoint Manager에서 SQL 주입 취약성을 악용하여 원격 코드 실행 기능을 활성화했습니다.
4. 조직이 서비스를 이와 같은 공격으로부터 보호하기 위해 취할 수 있는 조치는 무엇입니까?
이러한 위협에 대처하기 위해 조직은 보안 조치를 우선시하고 정기적인 취약성 평가를 실시하며 신속히 패치를 적용해야 합니다. 진화하는 공격 전술에 대해 알아두고 방어력을 강화하는 것이 클라우드 환경으로의 국가-국가의 침투를 방지하는 데 필수적입니다.
정의:
– 명령 주입: 공격자가 시스템에서 임의의 명령을 실행할 수 있는 취약점 유형.
– 경로 순회: 공격자가 웹 루트 디렉토리 외부의 파일 및 디렉토리에 액세스할 수 있는 취약점.
– SQL 주입: SQL 데이터베이스의 취약점을 악용하여 악의적인 SQL 문을 실행하는 유형의 공격.
관련 링크 제안:
FortiGuard Labs – 사이버 보안 위협 및 연구에 대한 자세한 정보를 위해.
