취약점

Ivanti Connect Secure 취약점 노출 국내 서버 현황 (다수 CVEs)

  • 11월 27 2024
Ivanti Connect Secure 취약점 노출 국내 서버 현황 (다수 CVEs)

Ivanti Connect Secure 제품에 대한 다수의 취약점이 발표되었으며, CVSS 점수 9점(CRITICAL) 이상의 위험도가 높은 취약점이 다수 포함되어 있다. 국내에서 운영 중인 Ivanti Connect Secure 서버 중 대다수가 취약 버전으로 확인되었다.

 

[그림 1] Ivanti Connect Secure 기본 접속 화면

 

Ivanti Connect Secure는 미국 Ivanti사의 VPN 솔루션으로, 기업 등의 내부 네트워크에 접속할 수 있도록 하는 제품이다. 국내에서도 인지도가 높은 편이며, 다수의 기업에서 사용하고 있는 것으로 확인되었다. Ivanti에서는 11월 11일, Ivanti Connect Secure 제품의 다수 취약점에 대한 보안 권고문을 게시하였으며, 이에 따라 AhnLab에서도 해당 보안 권고문을 ATIP 및 ASEC 블로그를 통해 게시하였다.

 

 

최신 버전 미만의 모든 버전에서 동작하는 취약점이 포함되어 있으며, 특히 원격 코드 실행이 가능한 매우 위험도 높은 취약점 또한 다수 존재한다.

 

CVSS 점수

CVE

비고

9

CRITICAL

9.1

 CVE-2024-38656 Remote Code Execution

9.1

 CVE-2024-39710 Remote Code Execution

9.1

 CVE-2024-39711 Remote Code Execution

9.1

 CVE-2024-39712 Remote Code Execution

9.1

 CVE-2024-11005 Remote Code Execution

9.1

 CVE-2024-11006 Remote Code Execution

9.1

 CVE-2024-11007 Remote Code Execution

9.1

 CVE-2024-38655 Remote Code Execution

8

HIGH

8.8

 CVE-2024-9420 Remote Code Execution

8.4

 CVE-2024-11004 Reflected XSS

7

HIGH

7.8

 CVE-2024-39709 Privilege Escalation

7.8

 CVE-2024-47906 Privilege Escalation

7.5

 CVE-2024-8495 DOS

7.5

 CVE-2024-38649 DOS

[표 1] 취약점 리스트

 

ASEC에서 ASM 서비스를 통해 확인한 결과, 1111개의 국내 서버에서 Ivanti Connect Secure 운용 이력이 확인되었으며, 그 중 743개 서버에 대한 상세 버전 정보를 확인할 수 있었다. (2024.11.19 기준)

버전 정보 확인이 가능한 743개 서버 중 최신 버전으로 운용 중인 서버는 69개였다. 69개를 제외한 674개(90.7%)의 서버는 취약점 대상 버전으로 운용되고 있으며, 취약 서버 대부분이 기업 및 기관의 서버로 확인되므로 주의가 필요하다.

 

[그림 2] 취약점 대상 서버 비율

 

기존 취약점 포스팅과는 다르게, 확인된 수량 자체는 많은 편이 아니지만, 해당 제품이 기업 및 기관 등 규모가 있는 단체에서 주로 사용하는 제품이며, 또한 다수의 구성원이 수시로 접속하고 내부 네트워크와 연결되어 있는 VPN 서버 특성상, 취약 상태로 유지될 경우 큰 피해가 발생할 수 있다.

 

IP Port Version RDNS
61.78.*.10 443 7.4.0.30667 **work.**.co.kr
27.122.*.112 443 22.6.2.2719 vpn.*******.co.kr
222.236.*.64 443 22.7.2.3191 sec.*****.or.kr
221.149.*.147 443 8.0.6.32195 vpn.*******.com
218.38.*.90 443 8.3.7.65025 vpn.***.go.kr
211.56.*.237 443 22.5.2.2229 ***.*****corp.com
211.233.*.242 443 6.5.0.14951 ***.*******.kr
211.233.*.178 443 9.1.18.25187 *******.***.co.kr
210.218.*.30 443 9.1.18.25187 vpn.****.re.kr
210.116.*.202 443 9.1.18.25055 vnet.********.com
210.103.*.30 443 7.3.0.24657 ssl.*****.or.kr
203.234.*.200 443 22.7.2.2615 *vpn2.****.co.kr
124.243.*.188 443 9.1.18.25505 *****vpn.********.com
119.199.*.12 443 9.1.18.25055 vpn.********.com
114.108.*.91 443 8.3.7.65025 vpn.********.com
1.215.*.230 443 9.1.18.25609 *****vpn.******.com

[표 2] 확인된 취약 서버 예시

 

위 표에 사용된 버전 정보는 [버전+빌드번호] 형식으로, 공식 홈페이지의 릴리즈 노트를 참조하여 보안 권고문에 기재된 [버전+릴리즈번호] 형식의 버전 정보를 확인할 수 있다.

예시) 9.1.18.25055 → 9.1R18.4

[그림 5] Ivanti 릴리즈 노트

 

Ivanti Connect Secure 제품은 전 세계적으로 널리 사용되는 제품으로, 과거 여러 차례 실제 취약점 공격이 발생했던 이력[1]이 있기 때문에 특히 주의할 필요가 있다. AhnLab에서는 관련 내용을 ATIP의 ASEC Notes를 통해 게시하였다.

Ivanti Connect Secure는 현재 9.x 버전과 22.x 버전을 각각 서비스 중이며, 과거에는 Pulse Connect Secure(8.x), Juniper Secure Access(7.x) 이름으로 서비스되었다. 확인된 국내 서버 중 상당수가 EOL이 한참 지난 구버전 제품을 여전히 사용 중이며, 이 경우 본 포스팅에 언급된 취약점 외에도 다수의 심각한 취약점에 노출된 채 운영되고 있는 것이다.

 

[그림 3] 국내 서버 사용 버전 비율

 

본문의 보안 권고문을 참고하여 구버전의 제품을 사용 중인 서버는 즉시 최신 버전으로 업데이트할 것을 권고한다. 또한 9.1x 버전의 경우 올해 말 EOS(End of Support)가 예정되어 있으므로, 22.x 버전으로의 업데이트가 필요하다.

  • 9.1.18.25685(9.1R18.9)
  • 22.7.2.3431(22.7R2.3)

 

ASEC에서는 블로그를 통해 주요 취약점에 대한 보안 권고문을 게시하고 있으며, AhnLab TIP 서비스 가입 고객 중 취약점 대상 서비스 운용 기업이 확인될 경우 별도의 맞춤형 보고서를 전달하고 있다. 자사 고객의 취약 정보가 외부에 노출되지 않도록 하며, 안전하게 서비스를 운영할 수 있도록 비공개로 해당 고객에게만 전달하는 서비스이다.

[1] CISA, (2024-01-19, 2024-02-13), Known Exploited Vulnerabilities Catalog – https://www.cisa.gov/known-exploited-vulnerabilities-catalog

AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.

Tags:
Previous Post

Next Post