2024년 1월 19일, 사이버보안 및 인프라 보안국(CISA)에서는 긴급 지침 24-01: Ivanti Connect Secure 및 Ivanti Policy Secure Vulnerabilities 완화를 발표했습니다. CISA에는 정보 보안 위협, 취약점, 사고가 알려지거나 합리적으로 의심되는 상황에 대응하여 긴급 지침을 내릴 권한이 있습니다. 미국 연방 기관에서는 이 지침을 준수해야 합니다.
여러 연방 기관에서는 최근 발견된 두 가지 취약점에 대해 완화 조치를 하라는 지시를 받았습니다. 이 완화 조치는 3일 이내에 해야 했습니다. CISA의 추가 모니터링에 따르면 위협 행위자들이 취약점을 계속해서 악용하고 있으며 초기 완화 및 감지 방법에 대한 몇 가지 대처 방안을 개발한 것으로 나타났습니다. 1월 31일, CISA에서는 긴급 지침에 대한 추가 지침 V1을 발표하여 각 기관에서 모든 Ivanti Connect Secure 및 Ivanti Policy Secure 제품의 모든 인스턴스를 기관 네트워크에서 즉시 분리하고 몇 가지 조치를 취한 후 제품을 다시 서비스에 투입하도록 했습니다.
이 블로그 게시물에서는 위협 행위자의 전술을 살펴보고, 대상 제품의 높은 가치 특성을 논의하며, Cloudflare의 보안 액세스 서비스 에지(SASE) 플랫폼이 이러한 위협으로부터 어떻게 보호되는지 보여 줍니다.
참고로 계층화된 보호의 가치를 보여 주는 Cloudflare의 WAF는 Ivanti zero-day 취약점을 사전에 감지하고 Cloudflare 고객을 보호하기 위해 긴급 규칙을 배포했습니다.
위협 행위자 전술
포렌식 조사(Volexity 블로그에서 훌륭한 글을 읽어보세요)에 따르면 공격은 빠르면 2023년 12월에 시작되었습니다. 증거를 종합해보면 위협 행위자는 Connect Secure 및 Policy Secure에 액세스하기 위해 이전에 알려지지 않은 두 가지 취약점을 함께 연결하고 인증되지 않은 원격 코드 실행(RCE)을 달성한 것으로 나타났습니다.
CVE-2023-46805는 제품의 웹 구성 요소에 있는 인증 우회 취약점으로, 이 취약점으로 인해 원격 공격자가 제어 검사를 우회하고 제한된 리소스에 액세스할 수 있습니다. CVE-2024-21887은 인증된 관리자가 장비에서 임의의 명령을 실행하고 특수하게 조작된 요청을 보낼 수 있도록 제품의 웹 구성 요소에 있는 명령 삽입 취약점입니다. 원격 공격자는 인증을 우회하고 "인증된" 관리자로 간주된 다음 장비에서 임의의 명령을 실행하는 기능을 활용할 수 있었습니다.
위협 행위자는 이러한 취약점을 악용함으로써 장비를 거의 완벽하게 제어할 수 있었습니다. 특히, 공격자는 다음을 수행할 수 있었습니다.
- VPN 서비스에 로그인하는 사용자로부터 자격 증명 수집
- 이 자격 증명을 사용하여 보호된 시스템에 로그인하여 더 많은 자격 증명 검색
- 원격 코드 실행이 가능하도록 파일을 수정
- 다수의 웹 서버에 웹 셸 배포
- 장비에서 명령 및 제어 서버(C2)로 다시 역방향 터널링
- 로깅을 비활성화하고 기존 로그를 삭제하여 감지를 방지
작은 장비, 큰 위험
이는 고객을 상당한 위험에 노출시키고 있는 심각한 사고입니다. CISA에서 지침을 발행한 것은 정당하며, Ivanti에서는 위협을 완화하고 장비의 소프트웨어에 대한 패치를 개발하기 위해 열심히 노력하고 있습니다. 하지만 이는 기존의 "성과 해자" 보안 패러다임을 고발하는 역할도 합니다 . 그 패러다임에서, 원격 사용자는 성 밖에 있었고 보호된 앱과 리소스는 성 안에 있었습니다. 보안 장비의 계층으로 구성된 해자에서 그 둘이 분리되었습니다. 이 경우 Ivanti 장비는 해자로서 사용자를 인증하고 권한을 부여한 다음 보호된 앱과 리소스에 연결하는 역할을 했습니다. 공격자 및 기타 악성 행위자는 해자에서 차단되었습니다.
이 사고는 악의적인 행위자가 해자 자체를 장악할 수 있을 때 어떤 일이 발생하는지와 고객이 제어 능력을 회복하기 위해 직면하는 문제를 보여 줍니다. 벤더가 제공한 장비와 레거시 보안 전략의 다음과 같은 두 가지 일반적인 특징 때문에 이러한 위험이 크게 강조됩니다.
- 관리자는 장비 내부에 액세스할 수 있음
- 인증된 사용자가 기업 네트워크의 광범위한 앱 및 리소스에 무차별적으로 액세스할 수 있어 악의적인 행위자 내부망 이동의 위험이 커짐
더 나은 방식: Cloudflare의 SASE 플랫폼
Cloudflare One은 Cloudflare의 SSE 이자 단일 벤더 SASE 플랫폼입니다. Cloudflare One은 보안 및 네트워킹 서비스를 폭넓게 포함하고 있지만(최신 서비스에 대한 내용은 여기에서 읽을 수 있습니다), 저는 위에서 언급한 두 가지 사항에 집중하고 싶습니다.
첫째, Cloudflare One은 최소 권한 원칙을 포함한 Zero Trust 원칙을 사용합니다. 따라서 성공적으로 인증한 사용자는 자신의 역할에 필요한 리소스와 앱에만 액세스할 수 있습니다. 또한, 이 원칙은 악의적 행위자가 무차별적인 네트워크 수준 액세스 권한을 가지고 있지 않으므로 사용자 계정이 손상된 경우에도 도움이 됩니다. 오히려 최소 권한은 악의적 행위자가 가진 내부망 이동의 범위를 제한하므로 영향 반경이 효과적으로 줄어듭니다.
둘째, 고객 관리자가 서비스 및 정책을 구성하려면 액세스 권한이 있어야 하지만, Cloudflare One은 Cloudflare 플랫폼의 시스템에 대한 외부 액세스를 제공하지 않습니다. 이러한 액세스 권한이 없다면, 악의적인 행위자가 Ivanti 장비 내부에 액세스할 수 있는 상황에서 그러한 유형의 공격을 실행할 수 없게 됩니다.
이제 레거시 VPN을 제거해야 할 때입니다
조직에서 CISA 지침의 영향을 받거나 최신화할 준비가 되어 현재 VPN 솔루션을 보강하거나 대체하고자 하는 경우 Cloudflare에서 기꺼이 도와드리겠습니다. Cloudflare One 플랫폼의 일부인 Cloudflare의 Zero Trust 네트워크 액세스(ZTNA) 서비스는 모든 사용자를 모든 앱에 연결하는 가장 빠르고 안전한 방법입니다.
온보딩 지원을 즉시 받거나 Ivanti(또는 다른) VPN 솔루션 개선 또는 교체에 도움이 되는 아키텍처 워크숍을 예약하려면 당사에 문의해 주세요.
아직 실시간 대화를 할 준비가 되지 않으셨나요? Cloudflare 또는 SASE 참조 아키텍처로 VPN을 교체하는 방법에 대한 학습 경로 문서를 읽고 Cloudflare의 모든 SASE 서비스와 온램프(on-ramp)가 함께 작동하는 방식을 알아보세요.