Home > Àüü±â»ç

ÇØÄ¿, Æ÷Ãá 100´ë ±â¾÷ »ç¿ëÇÏ´Â À̹ÝƼ VPN Ãë¾àÁ¡ ¿¬ÀÌ¾î ³ë·Á °ø°Ý

ÀÔ·Â : 2024-09-16 20:24
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
À̹ÝƼ SW, Àü ¼¼°èÀûÀ¸·Î 4¸¸ 5õ¿©°÷ ÀÌ»ó °í°´ º¸À¯
À̹ÝƼ VPN ³ë¸®´Â ÇØÄ¿, ÀÎÁõ¿ìȸ¡¤¸í·É¾îÁÖÀÔ¡¤SSRF µî Ä¡¸íÀû Ãë¾àÁ¡ 3°³ ¾Ç¿ë


[º¸¾È´º½º ±è°æ¾Ö ±âÀÚ] À̹ÝƼ(Ivanti)ÀÇ VPN Á¦Ç°¿¡¼­ Áö¼ÓÀûÀ¸·Î Ãë¾àÁ¡ÀÌ ¹ß°ßµÇ°í ÀÖ´Â °¡¿îµ¥,Æı޷ÂÀÌ Å« Ãë¾àÁ¡À» 3°³¸¦ ¿¬°áÇÑ °ø°ÝÀÌ Æ÷ÂøµÆ´Ù. À̹ÝƼ VPN Á¦Ç° ÀÌ¿ëÀÚ´Â Ãë¾àÁ¡¿¡ ³ëÃâµÇÁö ¾Ê¾Ò´ÂÁö °¢º°È÷ ½Å°æ½á¾ß ÇÑ´Ù.

¡ãÀ̹ÝƼ VPN Ãë¾àÁ¡ ¹ß»ý ŸÀÓ¶óÀÎ[À̹ÌÁö=SK½¯´õ½º]


1. À̹ÝƼ VPN »ç¿ëÇöȲ
À̹ÝƼ´Â Àü ¼¼°èÀûÀ¸·Î 4¸¸ 5õ¿© °÷ ÀÌ»óÀÇ °í°´À» º¸À¯ÇÏ°í ÀÖ´Ù. º¸¾ÈÀÌ Áß¿äÇÑ ¹Ì ±¹¹æ¼º ¹× NASA´Â ¹°·Ð, Æ÷Ãá 100´ë ±â¾÷ÀÇ 96% ÀÌ»óÀÌ »ç¿ë ÁßÀÌ´Ù. ÇöÀç ±¹³»¿¡¼­µµ ¹æ¼Û»ç, ´ëÇб³, ¿¬±¸¼Ò, °ø°ø±â°ü Áß½ÉÀ¸·Î 2õ¿© °÷ÀÌ ³Ñ´Â °ÍÀ¸·Î ÆľǵƴÙ.

ƯÈ÷, VPN ¼Ö·ç¼ÇÀÎ À̹ÝƼ Ä¿³ØÆ® ½ÃÅ¥¾î(Ivanti Connect Secure)´Â ÇØ¿Ü Á¤ºÎ±â°ü, ±º °ü·Ã Á¶Á÷, Åë½Å»ç, ¹æÀ§»ê¾÷ü, ±ÝÀ¶±â°ü, ÄÁ¼³Æà ¾÷ü ¹× Ç×°ø¿ìÁÖ ºÐ¾ß¿¡¼­ ³Î¸® »ç¿ëµÇ´Â Àαâ ÀÖ´Â ¼Ö·ç¼ÇÀ¸·Î ±¹³»¿¡¼­µµ ¸¹Àº ±â¾÷µéÀÌ ÇØ´ç ¼Ö·ç¼ÇÀ» »ç¿ëÇÏ°í ÀÖ´Ù.

2. °ø°Ý»ç·Ê
ÀÌ·¯ÇÑ °¡¿îµ¥ ¿ÃÇØ ÃʺÎÅÍ À̹ÝƼ Á¦Ç°±º¿¡¼­ °¢Á¾ Ãë¾àÁ¡ÀÌ Áö¼ÓÀûÀ¸·Î ¹ß°ßµÇ°í ÀÖ´Ù. SK½¯´õ½º°¡ ¹ßÇ¥ÇÑ ¡®Å¾¼­Æ® Æ®·»µå ¸®Æ÷Æ®(Top-CERT Trend Report)¡¯¿¡ µû¸£¸é 2024³â 1¿ù 10ÀÏ¿¡ À̹ÝƼ Ä¿³ØÆ® ½ÃÅ¥¾î Á¦Ç°¿¡¼­ ½É°¢ÇÑ Ãë¾àÁ¡ÀÌ ¹ß°ßµÆ´Ù. ÇØ´ç Ãë¾àÁ¡Àº ÀÎÁõ ¿ìȸ(CVE 2023-46805)¿Í ¸í·É¾î ÁÖÀÔ(CVE-2024-21887)À¸·Î °øÅë Ãë¾àÁ¡ µî±Þ ½Ã½ºÅÛ(CVSS)¿¡¼­ °¢°¢ 8.2(HIGH)¿Í 9.1(CRITICAL)·Î Æò°¡µÆ´Ù. ³ôÀº À§ÇèµµÀÇ Ãë¾àÁ¡ÀÌ °ø°³µÈ ÈÄ VPN °ø°Ý ½Ãµµ°¡ Áõ°¡Çß´Ù.

ƯÈ÷ ´Ù¼öÀÇ °ø°Ý ±×·ìÀÌ Æı޷ÂÀÌ Å« ¡®CVE-2023-46805¡¯, ¡®CVE-2024-21887¡¯, ¡®CVE-2024-21893(SSRF Ãë¾àÁ¡)¡¯ µî 3°³ Ãë¾àÁ¡À» ¿¬°áÇØ Ãë¾àÇÑ À̹ÝƼ VPNÀ» °ø°ÝÇÔÀ¸·Î½á ÇÇÇظ¦ Å°¿ü´Ù. ÀÎÁõ ¿ìȸ Ãë¾àÁ¡Àº ƯÁ¤ API¿¡ ÀÖ´Â Ãë¾àÁ¡À» ÀÌ¿ëÇØ ÀÎÁõ °úÁ¤À» ¼öÇàÇÏÁö ¾Ê¾Æ ³»ºÎ Á¢±ÙÀÌ °¡´ÉÇÏ°í, ¸í·É¾î ÁÖÀÔ Ãë¾àÁ¡Àº ƯÁ¤ URI¿¡ Àü¼Û ½Ã ÇØ´ç ¼­¹ö¿¡¼­ ÀÓÀÇÀÇ ¸í·ÉÀ» ½ÇÇàÇÒ ¼ö Àֱ⠶§¹®ÀÌ´Ù. SSRF Ãë¾àÁ¡Àº ƯÁ¤ ¿£µåÆ÷ÀÎÆ®¿¡¼­ ÀÎÁõ °úÁ¤ÀÌ ¾ø¾î °ø°ÝÀÌ °¡´ÉÇÏ´Ù.

¡ã°ø°Ý ±¸¼ºµµ[À̹ÌÁö=SK½¯´õ½º]


S»çÀÇ °æ¿ì °ø°ÝÀÚ°¡ À̹ÝƼ VPN Ãë¾àÁ¡À» ÅëÇØ Ä§ÅõÇÑ ÃÖÃÊÀÇ »ç·Ê·Î AD ¼­¹ö ħÅõ ÀÌÈÄ ³»ºÎ Á¤ÂûÀ» ÅëÇØ °ø°ÝÀ» À̾ µ¥ÀÌÅ͸¦ Å»ÃëÇß´Ù. ¶ÇÇÑ °°Àº ±â°£¿¡ A»ç´Â °ø°ÝÀÚ°¡ À̹ÝƼ VPN Ãë¾àÁ¡À» ÅëÇÑ ÃÖÃÊ Ä§Åõ ÀÌÈÄ VPN ¾îÇöóÀ̾𽺿¡ ´ëÇÑ ¼³Á¤ ÆÄÀÏÀ» Å»Ãë, À̹ÝƼ VPN ¾îÇöóÀÌ¾ð½º¿Í °ø°ÝÀÚ C&C ¼­¹ö °£ÀÇ µ¥ÀÌÅÍ Åë½ÅÀÌ È®ÀεƴÙ.

3. VPN Ãë¾àÁ¡ ŽÁöÀÇ ¾î·Á¿ò
ÇÏÁö¸¸ À̹ÝƼÀÇ VPN Ãë¾àÁ¡ ŽÁö°¡ ½±Áö ¾Ê´Ù. SK½¯´õ½º´Â ¡âÁ¦ÇÑÀû ·Î±ëÀ¸·Î ÀÎÇÑ ¾î·Á¿ò ¡âÀÓº£µðµå ½Ã½ºÅÛÀ¸·Î ÀÎÇÑ ¾î·Á¿ò ¡âÃë¾àÁ¡ ÀÌ¿ëÀ¸·Î ÀÎÇÑ Å½Áö ¹× ºÐ¼®ÀÇ ¾î·Á¿ò ¡â±âÁ¸ À̹ÝƼ ICT(¹«°á¼º °Ë»ç µµ±¸)ÀÇ Zero-Day °ø°Ý ¹ÌŽÁö¸¦ Ãë¾àÁ¡ ŽÁö°¡ ¾î·Á¿î ÀÌÀ¯·Î ²Å¾Ò´Ù.

4. À̹ÝƼ VPN Ãë¾àÁ¡ ´ëÀÀ Àü·«
SK½¯´õ½º´Â ¡°Á¦·Îµ¥ÀÌ¿Í 1-day Ãë¾àÁ¡Àº ¸Å³â Áõ°¡ Ãß¼¼¸ç, ÀÌ´Â °­·ÂÇÑ º¸¾È ÇÁ·¹ÀÓ¿öÅ©¸¦ ±¸ÃàÇÑ Á¶Á÷µµ ½É°¢ÇÑ À§ÇùÀÌ µÉ ¼ö ÀÖ´Ù¡±¸ç ¡°À̹ÝƼ VPN°ú °°Àº Ư¼öÇÑ ¾îÇöóÀ̾𽺠ÀåºñÀÇ °æ¿ì Áö¼ÓÀûÀ¸·Î Ãë¾àÁ¡ÀÌ ¹ß°ßµÇ°í ÀÖ¾î öÀúÇÑ ¸ð´ÏÅ͸µ°ú °ü¸®°¡ ÇÊ¿äÇϸç, ÆÐÄ¡¸¦ ¿Ï·áÇ߾ ³»ºÎ¸Á ħÅõ ¿©ºÎ¸¦ ¹Ýµå½Ã Á¡°ËÇØ¾ß ÇÑ´Ù¡±°í °­Á¶Çß´Ù.

¡ãÀ̹ÝƼ VPN ħÇØ Á¡°Ë üũ ¸®½ºÆ®[Ç¥=SK½¯´õ½º]


À̾î üũ¸®½ºÆ®¸¦ Á¦½ÃÇÏ¸ç ¡âÀ̹ÝƼ VPN : ÃֽŠ¹öÀü ÆÐÄ¡ Àû¿ë Á¡°Ë ¡âÀ̹ÝƼ VPN : À̹ÝƼ VPN/Active Directory °ü¸®ÀÚ °èÁ¤ µ¿ÀÏ Å©¸®µ§¼È Á¡°Ë ¡âÀ̹ÝƼ VPN : ´ë¿ë·® ¾Æ¿ô¹Ù¿îµå Æ®·¡ÇÈ Á¸Àç À¯¹« Á¡°Ë ¡â¼öÆò À̵¿ : À̹ÝƼ VPN¿¡ ´ëÇÑ ³»ºÎ ¹æÈ­º® Á¤Ã¥ ¼³Á¤ Á¡°Ë ¡â¼öÆò À̵¿ : À̹ÝƼ VPN -> ³»ºÎ ¼­¹ö ·Î±×ÀΠƯÀÌ»çÇ× À¯¹« Á¡°Ë ¡â¼öÆò À̵¿ : ³»ºÎ ¼­¹ö <-> ³»ºÎ ¼­¹ö ·Î±×ÀΠƯÀÌ»çÇ× À¯¹« Á¡°Ë ¡âº¸¾ÈÀåºñ : À̹ÝƼ VPN ħÇØÁöÇ¥(IP)°¡ ŽÁöµÈ º¸¾È Àåºñ À̺¥Æ® Á¡°Ë ¡â³»ºÎ ¼­¹ö : À̹ÝƼ VPN ħÇØÁöÇ¥(Hash)¸¦ ÅëÇÑ º¸¾È Àåºñ À̺¥Æ® Á¡°Ë ¡â³»ºÎ ¼­¹ö : ±× ¿Ü º¸¾È Àåºñ¿¡¼­ °ø°ÝÀÚÀÇ Ä§ÇØ ÈçÀû Á¡°Ë ¡â·Î±× °ü¸® : ½Ã½ºÅÛÀÇ ·Î±×¿¡ ´ëÇÑ °ü¸® Á¡°Ë µîÀ» ´çºÎÇß´Ù.
[±è°æ¾Ö ±âÀÚ(boan3@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)