Ivanti 앱/서비스에서 배포된 TRAILBLAZE & BRUSHFIRE 악성코드

IT 소프트웨어 공급업체 Ivanti는 최근 Ivanti Connect Secure (ICS) VPN 장치, Pulse Connect Secure, Ivanti Policy Secure 및 ZTA 게이트웨이에 영향을 미치는 이제 패치된 심각한 보안 취약점에 대한 세부 정보를 발표했습니다. 이 취약점은 현재 악용되고 있습니다.

이 취약점은 CVE-2025-22457로 식별되며 (CVSS 점수 9.0), 원격 인증되지 않은 공격자가 영향을 받는 시스템에서 원격 코드 실행을 달성할 수 있는 스택 기반 버퍼 오버플로우입니다. 이는 전체 시스템 손상으로 이어질 수 있습니다. 그러나 이 결함은 2025년 2월 11일에 출시된 Ivanti Connect Secure 버전 22.7R2.6에서 수정되었습니다.

“이 취약점은 문자 제한이 점과 숫자로 된 버퍼 오버플로우이며, 원격 코드 실행으로 악용될 수 없다고 평가되었고 서비스 거부 요구 사항을 충족하지 않았습니다.”라고 Ivanti는 목요일에 발표한 보안 조언에서 말했습니다.

이 취약점은 다음 제품 및 버전에 영향을 미칩니다:

Ivanti는 “제한된 수의 고객”이 Ivanti Connect Secure (22.7R2.5 및 이전) 및 Pulse Connect Secure 9.1x 장치를 사용하고 있으며, 이 장치는 2024년 12월에 서비스 종료되었습니다. 이 장치들이 악용된 것으로 보입니다. 또한 Policy Secure 또는 ZTA 게이트웨이가 공개 당시 악용된 사실은 인지하지 못하고 있다고 덧붙였습니다.

“고객은 외부 ICT를 모니터링하고 웹 서버 충돌을 찾아야 합니다. ICT 결과에 손상 징후가 보이면 장치를 공장 초기화한 후 22.7R2.6 버전을 사용하여 장치를 다시 생산에 투입해야 합니다.”라고 회사는 덧붙였습니다.

Ivanti의 공개 이후, 구글 소속의 Mandiant는 CVE-2025-22457 취약점의 추가 발견에 대한 세부 정보를 담은 별도의 블로그 게시물을 발표했습니다.

Mandiant에 따르면, CVE-2025-22457의 첫 번째 알려진 악용 사례는 2025년 3월 중순에 관찰되었으며, 이는 2023년부터 Ivanti 제품의 제로데이 취약점을 악용한 이력이 있는 중국 연계 스파이 그룹 UNC5221에 의해 수행된 것으로 추정됩니다. UNC5221은 이전에 CVE-2025-0282, CVE-2023-46805 및 CVE-2024-21887의 세 가지 제로데이 취약점을 활용했습니다.

보안을 유지하세요

한편, Mandiant는 조직이 CVE-2025-22457 취약점을 해결하기 위해 Ivanti Connect Secure (ICS) 장치를 22.7R2.6 버전 이상으로 즉시 업그레이드하여 사용 가능한 패치를 적용할 것을 강력히 권장했습니다.

또한, 조직은 외부 및 내부 무결성 검사 도구(“ICT”)를 사용하고 의심스러운 활동이 감지되면 Ivanti 지원팀에 연락할 것을 제안합니다.