주 단위 웹 공격 추이
주 단위 웹 공격 추이를 통해 웹 공격이 어느 시기에 많이 발생했는지 확인할 수 있습니다. 이를 바탕으로 공격이 많은 시기에 미리 웹 공격으로부터 예방 및 대응책을 마련할 수 있습니다.
아래 그래프는 2025년 1월을 기준으로 AIWAF에서 탐지된 웹 공격들을 보여주고 있습니다.
2025년 1월에는 일 평균 약 22만 건 이상의 공격이 탐지되었으며, 특히 28, 30일에 가장 많은 공격이 발생한 것을 확인 할 수 있습니다.
24일에 발생한 취약점중 가장 많은 공격 시도된 SQL Injection의 경우 저희 AIWAF내 가장 많은 탐지 조건을 가지고 있습니다. 하지만 SQL Injection 공격의 경우 새로운 공격 유형 및 우회 방법이 많기 때문에 항시 모니터링을 진행 하고 있습니다.
공격 유형별 웹 공격 동향
탐지 로그 기반으로 공격 유형별 웹 공격 동향을 통해 한 달 동안 어떤 공격이 많았는지 확인할 수 있습니다. 이를 바탕으로 기본적인 웹 공격 대응 가이드라인을 수립함으로써 해당 공격 유형에 대한 예방 및 대응책을 마련 할 수 있습니다.
아래 그래프는 2025년 1월을 기준으로 AIWAF에서 탐지된 웹 공격들을 보여주고 있습니다.
Web Attack Trends by Rule
SQL Injection(47.63%) 공격 유형이 가장 많았으며, App weak(12.02%), Default page(10.67%), bad user agent(10.57%) 순으로 탐지 되었습니다.
SQL Injection은 OWASP 에서 1위에 랭크되어 있는 만큼 가장 다양하며 위험한 공격입니다. 사용자 요청에 따라 동적으로 데이터를 생성하는 SQL 구문에 악의적인 SQL 문을 강제로 삽입하는 공격으로 취약한 어플리케이션의 경우 비정상으로 인증을 받거나 SQL 결과값을 리턴받을 수 있습니다. 다음과 같은 구문이 쿼리값에서 발생하였다면 공격을 의심해보시기 바랍니다.
app weak은 공격자가 무단 액세스를 얻거나 악의 적인 작업을 수행하기 위해 악용할 수 있는 앱 내의 취약점을 나타냅니다. 이러한 취약점은 잘못된 코딩 관행, 잘못된 구성 또는 불충분한 보안 조치로 인한 경우가 이에 해당됩니다. 일반적으로 앱 프로그램 사용 시 인가된 파일을 제외하고 인가 되지 않은 파일들을 의심해 보시기 바랍니다.
최근 3개월 웹 공격 추이 그래프 요약
10월
11월
12월
공격자 IP Top 30
취약점 분석 보고서
Ivanti Connect Secure & Policy Secure, ZTA Gateways Vulnerability
1. 개요
Ivanti사의 Connect Secure 및 Policy Secure, ZTA Gateways는 SSL VPN 솔루션 및 IPS 솔루션 제품들로, 최근 해당 플랫폼에서 발견된 Buffer Overflow 기반 사전 인증 RCE 취약점인 CVE-2025-0282에 대해 분석한 내용을 정리하였습니다.
출처 : https://www.helpnetsecurity.com/2025/01/08/ivanti-exploited-connect-secure-zero-day-cve-2025-0282-cve-2025-0283/
2. 공격 유형
CVE-2025-0282는 Ivanti사의 Connect Secure 및 Policy Secure, ZTA Gateways 제품에서 발생한 사전 인증 RCE 취약점으로, 해당 제품들에서 사용하는 오픈소스 VPN 클라이언트인 OpenConnect에서 사용되는 IF-T/TLS 프로토콜 통신 과정에서 발생하는 Buffer Overflow를 활용해 RCE 공격이 가능합니다.
해당 취약점에 대한 분석을 진행한 watchtowr에 따르면, 해당 프로토콜 통신을 담당하는 코드 일부분애 clientCapabilities 변수를 대상으로 strncpy 함수를 사용할 때 버퍼 크기가 아닌 입력 문자열의 크기로 복사하도록 잘못 작성하여, 만약 256bytes 이상 문자를 입력하게 되면 BOF가 발생한다고 합니다.
watchtowr에서 취약하다고 분석한 코드 일부 :
공격자는 해당 부분을 활용하여 먼저 IF-T/TLS 요청을 진행하기 위한 GET 요청을 전송 후, 이후 해당 프로토콜 규격에 맞게 Socket 통신을 진행하며 RCE 공격을 시도합니다.
IF-T/TLS 프로토콜 통신 요청 :
이후 전송하는 소켓 요청 :
또는 Buffer Overflow를 발생시키는 구문과 Webshell 구문을 결합시켜 POST 요청으로 전송하는 공격 방식도 존재합니다.
POST 요청을 통해 BOF 및 Webshell 업로드 :
3. 대응 방안
Ivanti에서는 CVE-2025-0282에 대한 패치를 발표하였으나, Ivanti Connect Secure 및 Ivanti ZTA Gateways 제품들은 22.7R2.5 이상 버전으로 업데이트를 진행하여 대응이 가능하지만 Ivanti Policy Secure 제품은 아직 패치가 공개되지 않았기 때문에 Ivanti의 권고 지침에 따라 인터넷에 노출되지 않도록 대응하여야 합니다.
해당 취약점의 경우 IF-T/TLS 프로토콜 환경에서 발생하는 공격은 AIWAF 패턴으로 대응 가능한 영역이 아닌 것으로 보여지나, Webshell과 결합한 형태의 공격은 "Webshell" 패턴에서 대부분 탐지되고 있습니다.
4. 결론
작년에 이어 올해에도 지속적으로 Ivanti사의 제품 및 솔루션에 대해 다양한 취약점들이 발견 및 보고되고 있으며, 해당 취약점의 경우 특히 인증 과정 없이 RCE 공격을 수행할 수 있다는 점에서 더욱 위험한 취약점으로 확인되어 빠르게 최신 버전으로 업데이트가 필요합니다.
저희 AIWAF 제품에서는 Ivanti Connect Secure 및 Policy Secure, ZTA Gateways에서 발생하는 취약점들에 대해 패턴을 개발하여 대응하고 있으며, 앞으로도 발견되는 관련 취약점들에 대해서도 신속하게 대응할 예정입니다.
5. 참고 자료
https://github.com/sfewer-r7/CVE-2025-0282
https://cloud.google.com/blog/topics/threat-intelligence/ivanti-connect-secure-vpn-zero-day
https://github.com/absholi7ly/CVE-2025-0282-Ivanti-exploit
최신 취약점 CVE 현황
1. 고위험 취약점 현황 (2025.01)
2. 고위험 취약점 설명
