Ivanti Connect Secure and Policy Secure Multiple Vulnerability

1. 개요

Ivanti사의 Connect Secure 및 Policy Secure는 SSL VPN 솔루션 및 IPS 솔루션 제품으로, 최근 해당 플랫폼에서 발견된 CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893에 대해 분석한 내용을 정리하였습니다.

2. 공격 유형

Ivanti 측에서는 2024년 1월, Connect Secure 및 Policy Secure 솔루션에서 발견된 취약점들에 대한 패치들을 발표하였습니다.

먼저 1월 10일 경에 발표된 첫 번째 패치는 인증 과정을 우회하여 관리 권한을 획득하는 취약점과 이를 활용해 웹 쉘을 업로드하여 임의 명령을 실행하는 취약점 CVE-2023-46805, CVE-2024-21887 2건에 대한 패치를 진행하였습니다.

1) CVE-2023-46805

해당 취약점은 Ivanti Connect Secure 및 Ivant Policy Secure 솔루션에서 발생한 인증 우회 취약점으로, 특정 API에 ../ 구문을 사용하여 인증 과정을 우회하여 해당 시스팀의 관리자 기능에 접근 및 실행이 가능한 취약점 입니다.

Rapid7의 분석 보고서에 따르면, /api/v1/totp/user-backup-code 로 시작하는 API의 경우 인증 과정이 적용되지 않는 점을 활용하여 ../ 구문을 통해 내부 Python REST 서비스에 접근이 가능합니다.

2) CVE-2024-21887

해당 취약점은 Ivanti Connect Secure 및 Ivant Policy Secure 솔루션에서 발생한 RCE 취약점으로, 인증된 공격자가 임의 명령이 삽입된 요청을 전송하여 메모리를 덤프하거나, 백업 파일 등을 탈취할 수 있는 취약점 입니다.

해당 취약점은 CVE-2023-46805와 연계하여 인증 과정을 우회하여 Python REST API 중 명령 삽입이 가능한 license/keys-status/, /system/maintenance/archiving/cloud-server-test-connection API에 접근 및 Python 악성 코드를 전송하여 암의 명령을 실행할 수 있습니다.

3) CVE-2024-21888

이후 1월 31일 경 일반 사용자를 관리자 권한으로 승격시키는 권한 에스컬레이션 취약점인 CVE-2024-21888, SAML 요청을 처리하는 서비스에서 발생한 SSRF 취약점인 CVE-2024-21893 2건에 대한 패치를 추가로 진행하였습니다.

이 중 CVE-2024-21888 취약점은 Ivanti Connect Secure 및 Ivant Policy Secure 솔루션에서 발생한 웹 구성 요소에 있는 권한을 에스컬레이션하는 취약점으로, 일반 사용자를 관리자로 승격시킬 수 있는 취약점이나 현재까지는 해당 취약점으로 공격이 수행된 사례가 보고되지 않아 취약점에 대한 상세 정보가 공개되지 않았습니다.

4) CVE-2024-21893

해당 취약점은 Ivanti Connect Secure 및 Ivant Policy Secure 솔루션에서 발생한 SSRF 취약점으로, 해당 솔루션 내 SOAP 기반 SAML 요청을 처리하는 서비스의 endpoint 중 일부 endpoint가 인증 과정이 없어 해당 endpoint로 조작된 XML 데이터를 전송하여 SSRF 공격을 수행합니다.

Rapid7에 따르면 SOAP 기반 SAML 요청을 처리하는 서비스의 endpoint로는 /dana-ws/saml.ws``/dana-ws/saml20.ws``/dana-ws/samlecp.ws 가 있는데, 이 중 /dana-ws/saml20.ws endpoint의 경우 인증 과정이 없어 SSRF 공격이 가능합니다.

3. 대응 방안

Ivanti에서는 현재 해당 취약점들에 대한 패치를 발표하였기 때문에 Ivanti Connect Secure 및 Ivanti Policy Secure 솔루션에 대해 EOL이 지나지 않는 버전들의 최신 버전으로 업데이트를 진행하여 대응이 가능합니다.

저희 AIWAF 제품에서는 CVE-2023-46805 및 CVE-2024-21887의 경우 "디렉토리 접근 탐지" 정책과 "Command Injection 1" 패턴으로 해당 취약점을 악용한 공격 구문을 탐지하고 있으며, CVE-2024-21893의 경우 2024년 2월 패턴 업데이트에 포함된 "Ivanti Connect Secure and Policy Secure SSRF" 패턴으로 탐지가 가능합니다.

CVE-2024-21888의 경우 아직 공격에 대한 정보가 공개되지 않아 지속적으로 모니터링을 진행하고 있습니다.

4. 결론

최근 Ivanti사의 제품 및 솔루션에 대해 다양한 취약점들이 발견 및 보고되고 있으며, 대부분 쉽게 활용이 가능한 취약점이기에 빠르게 최신 버전으로 업데이트가 필요합니다.

저희 AIWAF 제품에서는 Ivanti Connect Secure 및 Policy Secure에서 발생하는 취약점들에 대해 패턴을 개발하여 대응하고 있으며, 앞으로도 발견되는 관련 취약점들에 대해서도 신속하게 대응할 예정입니다.

5. 참조

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-46805
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21887
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21888
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21893
• https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US
• https://knvd.krcert.or.kr/detailSecNo.do?IDX=6074
• https://www.rapid7.com/db/modules/exploit/linux/http/ivanti_connect_secure_rce_cve_2023_46805/
• https://attackerkb.com/topics/AdUh6by52K/cve-2023-46805/rapid7-analysis
• https://attackerkb.com/topics/FGlK1TVnB2/cve-2024-21893/rapid7-analysis