안녕하세요, 안랩입니다.

최근 Ivanti의 엔드포인트 및 VPN 솔루션에서 심각한 보안 취약점이 발견되었으며, 해당 취약점은 실제 공격에 사용되는 것으로 추정되고 있습니다.

이러한 취약점은 인증 우회 및 원격 코드 실행(RCE)을 가능하게 하며, 특히 중국 연계 APT 그룹(추정)의 공격에 이용된 것으로 보고되고 있습니다.

이에 따라 Ivanti 제품을 사용하는 기관 및 기업은 즉각적인 대응이 필요합니다.

주요 취약점

• CVE-2025-4427 (EPMM): API 구성 요소의 인증 우회 취약점으로, 공격자가 인증 없이 보호된 리소스에 접근할 수 있습니다.
• CVE-2025-4428 (EPMM): 악의적으로 조작된 API 요청을 통해 임의의 코드를 실행할 수 있는 원격 코드 실행 취약점입니다.
• CVE-2025-0282, CVE-2025-22457 (Connect Secure VPN): 스택 기반 버퍼 오버플로우로 인해 원격 코드 실행이 가능한 취약점으로, CVSS 점수 9.0의 치명적인 수준입니다.

영향 받는 제품 및 버전

• EPMM (Endpoint Manager Mobile): 온프레미스 버전의 11.12.0.5, 12.3.0.2, 12.4.0.2, 12.5.0.1 이전 버전
• Connect Secure VPN: 취약점이 존재하는 구버전

권고 사항

• 보안 패치 적용: Ivanti에서 제공하는 최신 보안 패치를 즉시 적용하십시오.
• 시스템 무결성 검사: Ivanti의 Integrity Checker Tool(ICT)을 활용하여 시스템의 무결성을 확인하고, 침해 여부를 점검하십시오.
• VPN 장비 초기화 및 포렌식 분석: 침해 가능성이 있는 VPN 장비의 구성을 초기화하고, 내부에 존재할 수 있는 은닉 악성코드 제거를 위한 포렌식 분석을 수행하십시오.
• 계정 및 인증 정보 변경: 관리자 계정 및 기타 중요 계정의 비밀번호를 변경하고, 다중 인증(MFA)을 도입하여 보안을 강화하십시오.
• 로그 및 트래픽 모니터링: 이상 징후를 탐지하기 위해 시스템 로그와 네트워크 트래픽을 지속적으로 모니터링하십시오.