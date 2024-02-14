X
Akamai logo
+1-8774252624
+1-8774252624
로그인
Control Center
Akamai 플랫폼에 액세스
Cloud Manager
클라우드 리소스 관리
Akamai 체험하기
공격을 받고 계신가요?
로그인
Control Center
Akamai 플랫폼에 액세스
Cloud Manager
클라우드 리소스 관리

Ivanti 제품의 CVE-2024-22024 - XXE 취약점에 대해 관찰된 스캐닝 활동

Akamai Wave Blue

에 의해 작성

Sam Tinklenberg 그리고 Noam Atias

February 14, 2024

샘 팅클렌버그(Sam Tinklenberg)

에 의해 작성

Sam Tinklenberg

샘 팅클렌버그는 Akamai의 앱 API 및 위협 리서치 그룹 수석 보안 연구원입니다. 웹 애플리케이션 모의 해킹 경력이 있는 샘은 중대한 취약점을 찾아내고 방어하는 데 열정을 쏟고 있습니다. 웹 애플리케이션을 분석하지 않을 때는 비디오 게임과 보드 게임을 즐기며, 야외에서 활동하고 친구, 가족과 시간을 보내는 것을 좋아합니다.

Noam Atias

에 의해 작성

Noam Atias

Noam Atias is a Security Researcher in the Apps & APIs Threat Research Group at Akamai.

당사의 모든 플랫폼에서 이 CVE를 대상으로 하는 상당한 스캐닝 활동이 목격되었습니다.

서론

지난 몇 주 동안 Ivanti는 수많은 주요 CVE를 공개했습니다. 가장 최근의 CVE-2024-22024도 이와 다르지 않습니다. 이전 취약점만큼 CVSS 점수가 높지는 않지만, CVE-2024-22024는 여전히 공격자의 주요 표적이 될 가능성이 높습니다.

Ivanti는 2024년 2월 8일 CVE-2024-22024에 대한 권고 사항을 게시했습니다. Ivanti는 원래 이 결함이 내부 테스트 중에 발견되었다고 보고했습니다. 그러나 Ivanti의 이후 권고 사항을 업데이트해 이 취약점을 책임감 있게 공개한 watchTowr에게도 공을 돌렸습니다.

CVE-2024-22024는 Ivanti Connect Secure 및 Ivanti Policy Secure의 SAML 구성요소 내에 위치한 XXE(XML 외부 개체) 인젝션 취약점입니다. 이 취약점을 악용하는 데 성공하면 기본 웹 애플리케이션에 따라 민감한 정보 유출, 서비스 거부(DoS), SSRF(서버측 요청 위조) 또는 임의의 코드 실행으로 이어질 수 있습니다.

스스로 보호하세요

관찰된 스캐닝 활동

당사의 모든 플랫폼에서 이 CVE를 대상으로 하는 상당한 스캐닝 활동이 목격되었습니다. 2024년 2월 9일 초기 개념 증명(PoC)이 발표된 후에는 스캐닝이 급증하는 현상이 관찰되었습니다. 스캐닝 트래픽은 2월 11일에 피크에 달한 뒤 2월 12부터 점차 감소했습니다(그림 1).

스캐닝 트래픽은 2월 11일에 피크에 달한 뒤 2월 12부터 점차 감소했습니다(그림 1). 그림 1: 일별 스캐닝 요청 수를 보여 주는 타임라인

  • 약 24만 건의 요청 

  • 대상 호스트 3만 개

  • 페이로드를 전송하는 80개 이상의 IP가 관찰됨

  • 11개 국가로부터 공격 트래픽 발생

지금까지 우리는 watchTowr에서 발표한 원본 PoC와 유사한 페이로드만 보았습니다. 원래 PoC에는 몇 가지 변형이 있었지만. 모두 대상 서버가 다양한 수신 도메인 중 하나와의 상호 작용을 시도하는 ‘블라인드’ 아웃오브밴드 페이로드였습니다.

Akamai Security Intelligence Group은WAF(Web Application Firewall) 로그를 지속적으로 분석해 새로운 변종이나 무기화된 페이드로드로 전환된 것이 있는지 확인하고, 새로운 정보가 있으면 블로그의 이 섹션을 업데이트할 예정입니다.

Akamai App & API Protector를 통한 방어

자동 모드에서 Akamai Adaptive Security Engine 을 사용 중이고 ‘웹 플랫폼 공격’ 그룹을 거부 모드로 설정한 고객은 이러한 공격으로부터 자동으로 보호됩니다. 수동 모드에서 Adaptive Security Engine을 사용하는 고객은 거부 모드에서 ‘웹 플랫폼 공격’ 그룹 또는 다음 개별 룰이 있는지 확인해야 합니다(그림 2).

  • 3000934 v1 - 탐지된 Ivanti Connect Secure XXE 공격의 탐지 개선(CVE-2024-22024)

거부된 악용 시도 그림 2: Adaptive Security Engine 룰에 의해 거부된 악용 시도

요약

Akamai App & API Protector 는 보안 고객에 대한 이러한 공격 시도를 성공적으로 방어하고 있습니다.

가장 효과적인 방어는 벤더사가 제공한 패치를 즉시 적용하는 것입니다. 그러나 보안팀은 취약한 소프트웨어를 식별하고 안전하게 패치하기 위해 많은 시간과 노력을 기울여야 하는 상황이며, 애플리케이션과 유동적인 환경의 수가 증가함에 따라 이 작업은 훨씬 더 많은 시간과 노력을 필요로 하게 되었습니다.

심층 방어 전략은 끊임없이 증가하는 위협으로부터 기업의 자산을 보호하는 데 있어 여전히 중요합니다. 공격자들은 공용 PoC를 공격 도구 모음에 빠르게 통합하여 보안팀 직원의 도전 과제를 더욱 어렵게 만듭니다. Akamai App & API Protector 같은 WAF를 구축하면 새롭게 발견된 CVE를 방어하고 추가적인 보안 버퍼를 제공하는 추가 방어 레이어를 더할 수 있습니다.

본 블로그 게시물에서는 이용 가능한 정보를 바탕으로 현재 파악된 정보와 권장 사항을 대략적으로 살펴봤습니다. Akamai의 검토는 지속적으로 수행되므로 이곳의 모든 정보는 변경될 수 있습니다. 또한 X 계정을 방문해 실시간 업데이트를 확인할 수 있습니다.

X에서 팔로우
Akamai Wave Blue

에 의해 작성

Sam Tinklenberg 그리고 Noam Atias

February 14, 2024

샘 팅클렌버그(Sam Tinklenberg)

에 의해 작성

Sam Tinklenberg

샘 팅클렌버그는 Akamai의 앱 API 및 위협 리서치 그룹 수석 보안 연구원입니다. 웹 애플리케이션 모의 해킹 경력이 있는 샘은 중대한 취약점을 찾아내고 방어하는 데 열정을 쏟고 있습니다. 웹 애플리케이션을 분석하지 않을 때는 비디오 게임과 보드 게임을 즐기며, 야외에서 활동하고 친구, 가족과 시간을 보내는 것을 좋아합니다.

Noam Atias

에 의해 작성

Noam Atias

Noam Atias is a Security Researcher in the Apps & APIs Threat Research Group at Akamai.

관련 블로그 게시물

Akamai Hunt팀은 노출된 Docker API를 표적으로 하는 새로운 활발한 캠페인을 발견했습니다.
Akamai Hunt팀은 노출된 Docker API를 표적으로 하는 새로운 활발한 캠페인을 발견했습니다.
사이버 보안

Docker 주의보: 노출된 API를 표적으로 삼는 새로운 멀웨어 변종

September 08, 2025
Akamai Hunt가 발견한, 노출된 Docker API를 표적으로 하는 최신 멀웨어 변종에 대해 확인하세요. 기술 세부 정보와 방어 전략에 대해 알아보세요.
~에 의해 Yonatan Gilvarg
자세히 읽기
VBS 엔클레이브는 보안을 향상시킬 수 있지만 공격자에게도 매력적일 수 있습니다.
VBS 엔클레이브는 보안을 향상시킬 수 있지만 공격자에게도 매력적일 수 있습니다.
블로그

가상화된 보안(취약점): 공격자가 VBS 엔클레이브를 악용하는 방법

September 04, 2025
DEF CON 33에서 오리 데이비드(Ori David)가 발표한 내용을 읽고 공격자가 Windows 보안 기능인 VBS 엔클레이브를 어떻게 악성 목적에 악용하는지 알아보세요.
~에 의해 Ori David
자세히 읽기
오늘날의 랜섬웨어 위협에 합리적으로 대응하는 유일한 방법은 유출을 전제로 대응하는 것입니다.
오늘날의 랜섬웨어 위협에 합리적으로 대응하는 유일한 방법은 유출을 전제로 대응하는 것입니다.
보안 리서치

랜섬웨어의 공격 극복: 안정성의 시험

July 29, 2025
최신 SOTI 보고서 미리보기를 읽고 합리적인 랜섬웨어 대응에 안정성이 필수인 이유를 알아보세요. 정말 중요합니다.
~에 의해 Tricia Howard 그리고 Maria Vlasak
자세히 읽기