VPN 시스템(서버)은 종종 인터넷에 노출되어 있으며 그 취약성으로 인해 공격의 인기 대상이 되고 있습니다. 최근에는 Ivanti Connect Secure / Pulse Secure 장치에서 취약성이 발견되어 VPN 서버에 인증 없이 원격으로 서버를 탈취하는 것이 가능해졌습니다.
보고에 따르면 중국 출신으로 추정되는 특정 APT 그룹이 전 세계적으로 약 1700대 이상의 이러한 장치에 접근했으며, 폴란드를 포함한 다양한 국가의 정부, 군대, 통신사, 군需 업체, 은행, 금융 및 회계 업체, 컨설팅 회사, 항공 운송사 및 공학 분야에서 이러한 공격의 피해자가 발생하였습니다.
Rapid7은 이 문제에 대한 분석을 발표하였으며, 두 가지 취약성을 확인했습니다. 첫 번째 취약성은 장치에서의 API 요청이 인증을 필요로 하지 않는다는 점과 관련이 있으며, 이를 통해 모든 API 기능에 접근할 수 있습니다. 두 번째 취약성은 모든 API 기능에서의 명령 주입을 가능하게 하여 시스템 명령을 루트 권한으로 실행할 수 있게 합니다.
2단계 인증(2FA)이 존재함에도 불구하고, VPN 서버 취약성 공격은 이 메커니즘을 우회하여 보안 조치를 무력화시킵니다. VPN 서버에 루트 액세스를 획득함으로써 공격자는 로그인한 VPN 사용자와 동일한 권한을 가지게 됩니다.
이 취약성은 초기 진입점으로 활용되어 네트워크의 추가적인 공격을 위한 출발점으로 적극적으로 악용되고 있습니다. 우리의 VPN 장치가 감염되었는지 점검하고, 소프트웨어 업데이트와 정기적인 장치 스캔과 같은 적절한 보안 조치를 취하는 것이 중요합니다.
자주 묻는 질문
1. VPN이란 무엇인가요?
VPN(Virtual Private Network)은 공용 인터넷을 통해 개인 네트워크에 안전하게 연결할 수 있는 기술입니다.
2. 2FA는 무엇인가요?
2FA(Two-Factor Authentication)는 사용자가 비밀번호와 장치에서 생성된 코드와 같이 두 가지 다른 인증 요소를 제공해야 하는 접근 보안 방법입니다.
3. 명령 주입이란 무엇인가요?
명령 주입은 악성 코드를 응용 프로그램이나 시스템에 주입한 후, 시스템에서 명령어로 실행하는 공격 기법입니다.
출처: sekurak.pl
The source of the article is from the blog motopaddock.nl