이반티(Ivanti) 사의 Ivanti Sentry (전 MobileIron Sentry) 는 Microsoft Exchange 서버 등의 ActiveSync 서버 또는 Sharepoint 서버와 같은 백엔드 리소스를 위한 솔루션으로, 서버간의 데이터 동기화를 위해서 사용된다. Ivanti는 최근 CVE-2023-38035 제로데이에 대한 권고를 게시했다. CVE-2023-38035 제로데이는 권한이 없는 공격자가 웹 관리자 인터페이스와 관리자 서버에 접근하도록 인증 우회를 허용하는 취약점이다.
Ivanti Sentry의 시스템 관리자 포털은 아래와 같은 화면으로 가동되며, TCP/8443 포트를 통해 접속할 수 있다. 웹서버는 Apache HTTPD 를 사용한다. 취약점 공개 초기, 미국 국립표준기술연구소(NIST, National Institute of Standards and Technology)는 CVE-2023-38035 제로데이에 대해 “아직 분석 중이며 Ivanti가 일부 정보를 제공하지 않고 있다” 고 밝히며 CVSS 점수를 공개하지 않은 상태였지만, 이 글을 쓰는 시점에서는 CVSSv3 스코어가 9.8으로 공개되었다.
Ivanti 사에서는 공식사이트를 통해 취약점 패치를 공표하였고, RPM 스크립트를 제공하고 있다. 버전마다 각각의 설치 스크립트가 존재하고 있으며 9.15 이하의 버전에서는 먼저 9.16 이상의 버전으로 업데이트를 한 뒤에, 새 RPM 스크립트를 사용할 것을 권고하고 있다. 위 로그인 화면의 우측 상단에도 9.17.0 이라는 버전명이 표기되어 있어 사용중인 시스템 관리자 포털의 버전을 쉽게 확인할 수 있다.
| Ivanti Sentry 영향을 받는 버전 | 해결 방법 (RPM 스크립트 사용) |
|---|---|
| 9.18 | 9.18.0-3 설치 |
| 9.17 | 9.17.0-3 설치 |
| 9.16 | 9.16.0-3 설치 |
| 9.15 이하 | 9.16 이상의 버전으로 업데이트한 후 관련 RPM 스크립트를 적용해야 함 |
Criminal IP의 Asset Search에서는 title:”MobileIron System Manager” 필터 검색을 통해 Ivanti사의 MobileIron Sentry 시스템 관리자 포털을 검색할 수 있으며, 현재 100여대가 넘는 서버가 인터넷에 노출되어 있는 것을 확인할 수 있다.
* 이 쿼리에 사용된 title 필터는 검색한 키워드를 포함한 타이틀 태그를 가진 IP 주소를 찾을 수 있는 필터이다.
CVE-2023-38035 제로데이 해결을 위해서는 취약점 패치를 신속히 진행해야 한다. 하지만 속히 패치를 진행하기 어려운 경우에는 MobileIron Sentry에서 사용하는 TCP/8443 포트를 외부에서 접근하지 못하도록 차단하는 것이 가장 시급하다.
관련하여 OSINT 툴을 활용한 MS Exchange 제로데이 취약점 탐지를 다룬 글을 참고할 수 있다.
이 리포트는 사이버 위협 인텔리전스 검색엔진 Criminal IP의 데이터를 바탕으로 작성되었습니다.
지금 바로 Criminal IP 무료 계정을 생성하면 리포트에 인용된 검색 결과를 직접 확인하거나 더 방대한 위협 인텔리전스를 자유롭게 검색할 수 있습니다.
데이터 출처: Criminal IP (https://www.criminalip.io/ko)
관련 글:
댓글 남기기