이반티 Connect Secure VPN과 네트워크 접근제어 솔루션 취약점 악용

정상코드에 악성파일 삽입하고 다양한 맞춤형 악성 프로그램 사용

[보안뉴스 김경애 기자] 2024년 1월 10일, IT 인프라와 보안 소프트웨어 및 서비스를 제공하는 이반티(Ivanti)가 자사의 Connect Secure VPN(이전 명칭: Pulse Secure)과 네트워크 접근 제어(NAC) 솔루션인 Policy Secure에서 발견한 두 가지 취약점인 CVE-2023-46805와 CVE-2024-21887을 발표한 바 있다.

​

[이미지 = gettyimagesbank]

해당 취약점을 성공적으로 악용할 경우 인증 우회 및 명령 주입을 통해 추가 침해를 할 수 있다. 맨디언트는 2023년 12월부터 이 취약점들을 악용해 제로데이 공격을 수행하는 ‘UNC5221’를 추적하고 있다.

​이반티는 이번 캠페인에서 악용한 취약점을 설명하는 블로그 포스팅과 완화 조치를 발표했고, 고객이 현재 운영 중인 시스템이 영향을 받았는지 확인할 수 있도록 지원하고 있다. 이반티는 현재 취약점 패치를 개발 중이며, 향후 업데이트 날짜 및 취약점 관련 정보 참조를 위해 이반티의 KB(Knowledge Base) 문서 참조를 권장하고 있다.

​공격자는 Connect Secure VPN과 Policy Secure 장비의 취약점을 악용해 공격했다. 공격에 쓰이는 다섯 가지 주요 악성 프로그램 패밀리(Malware Families)는 해커가 이반티 장비의 인증을 우회하고 백도어를 통해 접근할 수 있는 발판을 제공한다. 또한, 추가 공격 도구들도 발견됐다.

​

[자료=맨디언트]

침투 후 활동

CVE-2023-46805(인증 우회)와 CVE-2024-21887(명령 주입) 취약점을 이용한 공격에서 UNC5221은 다양한 맞춤형 악성 프로그램들을 사용했다. 이들 중 일부는 Connect Secure VPN의 정상 파일에 악성 코드를 삽입하는 방식으로 작동했다.

UNC5221은 PySoxy 터널링 소프트웨어와 BusyBox를 사용해 침투 성공 후 후속 활동을 했다. 장치의 일부는 파일시스템이 읽기 전용이었는데, 이런 경우 UNC5221은 Perl 스크립트인 ‘sessionserver.pl’로 읽기/쓰기 모드로 파일시스템을 다시 마운트했다. 이를 통해 합법적인 Connect Secure 파일에 웹셸인 LIGHTWIRE, 쉘 스크립트 드로퍼인 THINSPOOL, 다른 후속 도구들을 설치할 수 있었다.

THINSPOOL은 UNC5221이 이반티 장치에 지속해서 남아 있고 탐지를 피하는 데 중요한 역할을 한다. 뿐만 아니라 LIGHTWIRE 웹셸을 처음 설치하는 데에도 사용된다. LIGHTWIRE와 WIREFIRE 웹셸은 UNC5221가 Connect Secure VPN 장치에 계속 접근할 수 있는 경로를 제공한다. 이는 우연히 취약점을 발견해 침입하는 단순한 공격이 아니라 패치가 나오더라도 특정 대상의 환경에서 계속 활동하려는 UNC5221의 의도를 잘 보여준다. 또한, WARPWIRE 자바스크립트는 사용자의 로그인 정보를 포함해 UNC5221이 추가적인 네트워크 침투 또는 정보 수집 활동을 수행할 수 있도록 한다.

​

[자료=맨디언트]

맞춤형 악성 프로그램

△ZIPLINE 백도어

ZIPLINE은 libsecure.so 파일에서 네트워크 트래픽을 가로채기 위해 함수를 대체하는 백도어다. 이 백도어가 함수를 호출할 때 정상적인 libc의 함수를 먼저 찾아 연결하면 ZIPLINE은 ‘web’이라는 프로세스 이름을 확인한다.

만약 연결된 호스트에서 받은 데이터가 ‘SSH-2.0-OpenSSH_0.3xx.’라는 문자열과 일치하면 ZIPLINE은 악성 활동을 시작한다. 이 백도어는 암호화된 명령을 포함한 헤더를 받고, 이를 실행한다. ​

△THINSPOOL 드로퍼

THINSPOOL은 쉘 스크립트로 만든 프로그램으로 정상적인 Connect Secure VPN 파일에 LIGHTWIRE라는 웹셸을 삽입한다. 이 도구는 시스템 업데이트 후에도 정상 파일에 악성 웹셸 코드를 다시 삽입해 UNC5221이 침투한 장치에 계속 남아 있을 수 있는 발판 역할을 한다. THINSPOOL은 이반티의 시스템 무결성 검사를 피하려 했지만, 이 시도는 실패한 것으로 나타났다.

△LIGHTWIRE와 WIREFIR 웹셸

LIGHTWIRE는 Perl CGI 언어로 만든 웹셸로 Connect Secure VPN의 정상 파일에 포함되어 임의의 명령을 실행할 수 있다. 이 웹셸은 매개변수와 요청을 가로챈다. 여기서 ‘compid’는 인코딩되고 암호화된 데이터를 담고 있다. 이 해독된 데이터는 Perl 코드로 해석돼 실행된다.

WIREFIRE는 Python으로 작성한 웹셸로 Connect Secure VPN에 트로이 목마 형태로 삽입된다. 이 웹셸은 침해 장비에 파일을 다운로드하고, 임의의 명령을 실행할 수 있다.

인증 전에 삽입된 로직은 ‘/api/v1/cav/client/visits’ 주소로 오는 특정 HTTP POST 요청에 반응한다. 만약 formdata 항목에 ‘file’이 존재하면, 웹쉘은 이 파일 내용을 장치에 지정된 파일 이름으로 저장한다.

파일이 없는 경우 웹셸은 GIF 헤더 이후의 원본 데이터를 디코딩, 복호화하고 zlib 압축을 해제한 뒤 서브 프로세스로 실행한다. 이렇게 실행한 프로세스의 결과는 다시 zlib으로 압축되고 AES 암호화가 된 다음 Base64 인코딩을 거쳐 ‘message’ 필드를 포함한 JSON 형태로 HTTP 200 OK 응답으로 전송된다.

△WARPWIRE 자격증명 수집 도구

WARPWIRE는 자바스크립트로 작성한 자격증명 탈취 도구로 정상적인 Connect Secure VPN 파일에 포함돼 있다. 이 도구는 사용자가 웹 로그인을 통해 원격 데스크톱 프로토콜(RDP) 같은 레이어 7(Layer 7) 애플리케이션에 접근할 때 입력하는 아이디와 비밀번호 같은 일반 텍스트 형식의 자격증명 정보를 목표로 삼는다. WARPWIRE는 이 정보를 포착해 함수를 사용해 인코딩한 후 C&C 서버로 HTTP GET 요청을 통해 전송한다.

UNC5221의 활동은 스파이 목적의 캠페인일 가능성이 높다. UNC5221은 주로 공식 지원이 종료된 Cyberoam VPN 장치들을 C&C 인프라로 활용했다. 이 장치들은 대부분 피해자가 위치한 국가 안에 있었다. 이는 위협 행위자가 탐지를 피하는 데 도움이 되었을 것으로 보인다.

UNC5221의 활동은 네트워크 엣지를 공격하고, 그곳에서 활동을 지속하는 것이 스파이들에게 여전히 매력적이고 실행에 옮길 수 있는 전략이라는 것을 보여준다. 제로데이 취약점을 이용한 공격, 엣지 장치 침투, 특정 장치를 침해해 C&C 인프라로 활용, 정상 파일에 코드를 삽입하는 등의 탐지 회피 전략은 스파이 활동가들의 주요 수단이 됐다.

​

[자료=맨디언트]

이반티의 장치를 사용하는 기업은 완화 조치를 가능한 한 빨리 취하고, 패치 발표 일정 공지를 주시해야 한다. 또한, 이반티i의 무결성 검사 도구(ICT)에 대한 정보도 참조해야 한다.

[김경애 기자(boan3@boannews.com)]​ 

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=127297&page=1&mkind=1&kind=)]