문의하기
블로그

이반티 VPN 취약점 CVE-2025-22457 대응 전략: CTI 기반 공격 표면 탐지

최근 이반티(Ivanti)는 이반티 VPN 취약점 CVE-2025-22457에 대한 패치를 발표했다. 이 취약점은 Ivanti Connect Secure, Pulse Connect Secure, Ivanti Policy Secure 및 ZTA

2025. 04. 18.

최근 이반티(Ivanti)는 이반티 VPN 취약점 CVE-2025-22457에 대한 패치를 발표했다. 이 취약점은 Ivanti Connect Secure, Pulse Connect Secure, Ivanti Policy Secure 및 ZTA Gateways의 일부 버전에서 악용될 수 있는 스택 기반 버퍼 오버플로우 취약점으로, 원격 코드 실행으로 이어질 수 있어 CVSS 점수 9.0으로 평가되었다. 더불어, Mandiant 와 GTIG(Google Threat Intelligence Group)은 지난 3월 중국의 해킹그룹이 해당 취약점을 실제로 악용했다고 밝혀, 취약점의 심각성이 더욱 높아졌다. 이번 글에서는 CVE-2025-22457에 취약한 버전과 영향에 대해 다루고, CTI 기반 대응 전략에 대해 소개한다.

이반티 VPN 취약점 CVE-2025-22457의 개요

CVE-2025-22457은 Ivanti의 보안 제품군인 Connect Secure, Policy Secure, ZTA Gateways에 영향을 미치는 스택 기반 버퍼 오버플로우 취약점이다. 공격자는 과도하게 긴 X-Forwarded-For 헤더를 포함한 조작된 HTTP 요청을 전송해 버퍼 오버플로우를 유발하고, 이로 인해 원격 코드를 실행 할 수 있다. 4월 3일에 공개된 이 취약점은 이미 중국의 해킹 그룹 ‘UNC5221’의 악성코드 배포에 악용된 것으로 알려졌다. 

이 취약점은 지난 2월 Ivanti Connect Secure 22.7R2.6 버전에서 처음 발견되어, 발견 당시에는 낮은 위험도의 DoS 버그로 간주되어 곧바로 패치가 발표되었다. 하지만, 이 패치를 분석한 공격자가 해당 취약점을 악용해 RCE 발전시켰고, 이반티는 공식적으로 CVE-2025-22457을 공개했다. CVE 공표 직후, CISA는 해당 취약점을 KEV에 추가하며, 즉각적인 대응을 권고했다. 현재 Connect Secure에 대한 패치가 공개되었으며, Policy Secure 및 ZTA Gateways는 각각 4월 19일과 20일에 발표 예정이다. 이에 따라 취약한 Ivanti 장비를 사용하는 조직은 즉각적인 패치 적용과 함께 지속적인 공격 표면 모니터링을 진행해야 한다.

취약한 이반티 버전

  • Ivanti Connect Secure: 22.7R2.5 및 이전 버전
  • Pulse Connect Secure (EoS): 9.1R18.9 및 이전 버전
  • Ivanti Policy Secure: 22.7R1.3 및 이전 버전 
  • ZTA Gateways: 22.8R2  및 이전 버전

CVE-2025-22457의 보안 위협

CVE-2025-22457이 악용될 경우, 다음과 같은 여러 보안 위협을 수반한다.

  • 비인증 원격 코드 실행(RCE)
    • 공격자는 인증 없이 악의적인 HTTP 요청만으로 서버 내에서 임의의 코드를 실행 가능하다
    • 이반티 장비를 악성코드 전파의 경유지로 사용할 수 있다
  • 커스텀 백도어 및 루트킷 배포
    • 실제 중국 APT 그룹 UNC5221이 로그 조작, 데이터 유출, 추가 악성코드 삽입 등을 목적으로 백도어를 배포한 이력이 있다
  • 공격 표면 확장
    • 외부에 노출된 이반티 장비를 통해 내부 측면 이동, 자격 증명 탈취, 데이터 유출 피해가 발생할 수 있다
  • 제로 트러스트 모델 위협
    • ZTA Gateways와 같은 최신 제로 트러스트 보안 장비조차도 이 취약점에 영향을 받았다
    • 보안의 마지막 방어선이 뚫릴 수 있음을 의미한다
  • 패치 지연 시 지속적 위험 노출
    • 공격자는 패치 배포 전부터 리버스 엔지니어링을 통해 RCE로 무기화한 것으로 분석된다
    • 패치가 늦거나 탐지되지 않은 시스템은 지속적 위협에 노출될 수 있다

이처럼 이반티 VPN 취약점 CVE-2025-22457이 악용되면 심각한 보안 위협이 발생할 수 있으므로, 사용자는 신속하게 패치를 적용하고 지속적으로 공격 표면을 모니터링 해야 한다.

CTI 기반 공격 표면 모니터링: 인터넷에 노출된 이반티 Connect Secure 탐색

인터넷에 노출된 이반티 Connect Secure는 Criminal IP의 Asset Search로 간단히 찾을 수 있다.

Criminal IP Search Query: title: “Pulse Connect Secure”

Criminal IP Asset Search에서 title: "Pulse Connect Secure"를 검색한 결과
Criminal IP Asset Search에서 title: “Pulse Connect Secure”를 검색한 결과

2025년 4월 15일 기준, 인터넷에 노출된 Pulse Connect Secure는 1,350개이다. Pulse Connect Secure는 CVE-2025-22457에 영향을 받는 제품일뿐만 아니라 현재 이반티의 지원이 종료된 서비스로 무엇보다 빠르게 Ivanti Connect Secure의 최신 버전으로 마이그레이션할 필요가 있다. 지원이 종료된 버전을 계속 사용할 경우, 새로운 취약점에 대한 패치가 제공되지 않기 때문에 앞서 언급한 보안 위협이 발생할 가능성이 높아진다.

Criminal IP Search Query: title: “Ivanti Connect Secure”

Criminal IP Asset Search에서 title: "Ivanti Connect Secure"를 검색한 결과
Criminal IP Asset Search에서 title: “Ivanti Connect Secure”를 검색한 결과

2025년 4월 15일 기준, 인터넷에 노출된 Ivanti Connect Secure는 19만개 이상이었다. 기본적으로 VPN 솔루션이므로 외부에 공개된 이반티 제품이 많지만, 이반티 장비에 연결된 IP에서 여러 취약점이 발견된 경우를 다수 확인할 수 있었다. 그 가운데에는 총 132개의 CVE를 보유한 IP도 확인 할 수 있었다. 한 IP에서 132건의 CVE가 발견되었다는 것은 패치가 거의 이루어지지 않았다는 의미이며, 공격자 입장에서는 공격 기회가 많은 환경으로 인식되기 때문에 취약점 악용 가능성이 매우 높은 상태라고 할 수 있다.

취약점이 132개 발견된 IP 주소, Ivanti Connect Secure이 연결되어 있다
취약점이 132개 발견된 IP 주소, Ivanti Connect Secure이 연결되어 있다

FAQ

Q1. 이반티 Connect Secure가 취약한 상태로 노출되는 원인은 무엇인가요?

기본적으로 이반티 Connect Secure는 SSL VPN 솔루션이므로 외부 사용자의 접속을 위해 인터넷에 연결되고 있다. 하지만, 설치 이후 관리 포트나 API 포트에 대한 접근 제한이 누락되거나 DMZ 방화벽 정책이 잘못 구성되면 관리자 포털까지 인터넷 상에서 접근 가능한 상태가 된다. 또한 Pulse Connect Secure와 같이 지원 종료된 장비를 지속적으로 사용할 경우, 보안 업데이트가 제공되지 않아 취약점 수정이 불가한 상태로 방치될 가능성이 높다. 이러한 기술적, 운영상 원인들로 인해 이반티 Connect Secure가 취약한 상태로 인터넷 상에 노출되는 경우가 발생하게 된다.

Q2. 이반티 취약점 악용을 예방하는 방법은 무엇인가요?

이반티 취약점 악용을 예방하기 위해서는 기술적 조치와 운영적 관리를 함께 적용해야 한다. 특히 이반티는 원격 접속 게이트웨이로서 기업의 보안 경계에 위치하는 장비이기 때문에, 한 번 뚫리면 전사적 보안사고로 이어질 수 있다. 무엇보다 최신 패치 적용과 지속적인 공격 표면 관리가 중요하며, 취약점 악용을 예방하기 위해 아래와 같은 구체적인 방법을 활용할 수 있다. 

  1. 최신 보안 패치 적용
  2. 공격 표면 최소화(ASM)
  3. ICT(무결성 점검 도구) 주기적 실행
  4. 모니터링 및 TI 연동
  5. 인증 및 접근통제 강화
  6. 자산 식별 및 보안 점검 자동화

결론

이반티 VPN 취약점 CVE-2025-22457은 기업 네트워크 전체의 보안을 위협할 수 있는 심각한 보안 이슈이다. 특히 원격 접속을 위해 사용되는 장비 특성상, 단 하나의 패치 누락도 APT 그룹의 표적이 될 수 있다. 실제로 인터넷에 노출된 이반티 장비들 중에는 100개 이상의 취약점(CVE)이 탐지된 사례도 존재하며, 이를 방치할 경우, 공격자는 인증 우회, 악성코드 삽입, 내부망 침투 등 전사적 피해로 확산시킬 수 있다. 따라서 사용자는 즉각적인 패치 적용, 공격 표면 관리, ICT 무결성 검사 및 CTI 기반 위협 탐지, 노출 자산 식별 및 접근 제어 강화를 통해 능동적으로 대응해야 하며, 특히 지원 종료(EoS)된 Pulse Connect Secure를 계속 사용하는 조직은 이반티 Connect Secure 최신 버전으로의 마이그레이션을 서둘러야 한다.

관련하여 Next.js 미들웨어 인증 우회 취약점 공개: 52만 개 이상 웹 자산이 위험에 노출 글을 참고할 수 있다.

데이터 출처: Criminal IP (https://www.criminalip.io/ko), Ivanti(https://forums.ivanti.com/s/article/April-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-22457?language=en_US), NIST(https://nvd.nist.gov/vuln/detail/CVE-2025-22457), Bleeping Computer(https://www.bleepingcomputer.com/news/security/ivanti-patches-connect-secure-zero-day-exploited-since-mid-march/), CISA(https://www.cisa.gov/news-events/alerts/2025/04/04/ivanti-releases-security-updates-connect-secure-policy-secure-zta-gateways-vulnerability-cve-2025)

관련 글 :

https://www.criminalip.io/ko/knowledge-hub/blog/26934