이반티 EPM 취약점 긴급
엔드포인트 관리 솔루션 이반티 EPM(Ivanti Endpoint Manager)에서 비인증 상태로 시작해 관리자 세션 탈취로 이어질 수 있는 고위험 취약점이 공개됐다. 해당 이슈는 CVE-2025-10573으로 분류됐으며, CVSS 9.6의 높은 심각도로 평가된다.
핵심은 스토어드 XSS(Stored XSS) 구조다. 공격자가 악성 스크립트를 주입해두면, 관리자가 대시보드를 평소처럼 열람하는 순간 브라우저에서 스크립트가 실행돼 세션이 탈취될 수 있다. 즉 “사용자 상호작용이 필요하다”는 조건이 실제 위험을 크게 낮추지 않는다.
• 시작점이 비인증일 수 있음
• 관리자 대시보드 열람만으로 세션 탈취 가능성
• 탈취 시 엔드포인트·서버·배포 경로 등 관리 영역 전체 확산 우려
• 따라서 이반티 EPM 사용 조직은 “즉시 패치”가 우선순위
1️⃣ 취약점 개요
이번 이슈는 공격자가 인증 없이 접근 가능한 구간을 악용해, 스캔 데이터(입력값)에 악성 스크립트를 심고 이를 EPM 관리자 UI에서 실행시키는 시나리오로 설명된다. 결과적으로 이반티 EPM 관리자 세션 탈취 및 권한 장악으로 이어질 수 있다.
| 항목 | 내용 |
|---|---|
| 제품 | Ivanti Endpoint Manager(EPM) |
| CVE | CVE-2025-10573 |
| 심각도 | CVSS 9.6 (고위험) |
| 유형 | 스토어드 XSS(Stored Cross-Site Scripting) |
| 영향 | 관리자 세션 탈취 → 관리자 권한 장악 가능성 |
| 조치 | 패치 적용 및 외부 노출/접근통제 강화 |
2️⃣ 공격 시나리오
보고된 시나리오는 단순하다. 공격자가 가짜 엔드포인트를 등록하고, 해당 엔드포인트의 스캔 데이터에 악성 스크립트를 주입한다. 이후 관리자가 대시보드에서 해당 정보를 조회하면 스크립트가 실행되며 세션이 탈취될 수 있다.
① 비인증 상태에서 EPM 웹 서비스 접근
② 가짜 엔드포인트 등록 및 스캔 데이터에 스크립트 삽입
③ 관리자 UI에 해당 데이터가 표시됨
④ 관리자가 열람하는 순간 브라우저에서 스크립트 실행
⑤ 세션 탈취 → 관리자 권한 장악 우려
3️⃣ 기술적 원인 포인트
문제의 본질은 “입력값 검증 없이 들어온 데이터를 저장/파싱하고, 그 결과가 관리자 UI에 그대로 반영될 수 있는 구조”다. 스토어드 XSS는 한 번 주입되면 관리자가 반복적으로 보는 화면에서 재발화될 수 있어, 사고 확산 속도와 범위가 커지는 경향이 있다.
# 점검 관점에서 보는 핵심
- 외부(또는 비신뢰) 입력이 저장됨
- 저장된 입력이 관리자 UI에 그대로 렌더링됨
- 렌더링 시 HTML/스크립트 인코딩(escape)이 불완전함
= 스토어드 XSS 조건 성립4️⃣ “상호작용 필요”가 리스크를 낮추지 않는 이유
일부에서는 XSS가 “관리자 클릭/열람 같은 상호작용이 필요하다”는 점을 이유로 위험이 낮다고 보기도 한다. 그러나 관리 포털 열람은 운영상 반복되는 일상 동작이며, 조직 구조상 특정 관리자가 매일(혹은 주기적으로) 수행한다.
• 트리거가 “특수 행동”이 아니라 “대시보드 열람” 같은 상시 업무
• 공격자는 성공 조건을 쉽게 만족시키도록 설계 가능
• 탈취 후엔 EPM이 가진 “관리 권한” 특성상 피해 범위가 급격히 확대될 수 있음
5️⃣ 즉시 대응 체크리스트
이번 이슈는 “패치가 최우선”이다. 그 다음은 외부 노출 최소화와 관리 포털 보호(접근통제/2FA/로그 모니터링)다. 이반티 EPM 사용 조직이라면 아래 항목을 즉시 수행하는 것이 안전하다.
• 벤더 권고 최신 버전으로 즉시 패치/업데이트
• EPM 관리 포털의 인터넷 노출 여부 점검(가능하면 내부망/관리망으로 제한)
• 관리 포털 접근 IP 허용목록 적용 및 VPN/점프서버 경유 강제
• 관리자 계정 2단계 인증 적용, 계정 공유 금지 및 최소 권한 분리
• 관리자 세션/로그인 이벤트/비정상 엔드포인트 등록 로그 모니터링 강화
6️⃣ 추가 방어: 탐지·감사 포인트
패치 적용 전후로, “이미 주입된 데이터”가 남아있을 가능성도 고려해야 한다. 따라서 단순 버전 업데이트만이 아니라, 의심 엔드포인트/스캔 데이터/관리자 UI에 표시되는 필드에 대한 점검이 필요하다.
• 최근 생성된 신규/비정상 엔드포인트 등록 내역 확인
• 스캔 데이터에 특이한 문자열(스크립트 태그, 이벤트 핸들러 패턴 등) 존재 여부 점검
• 관리자 계정의 세션 생성/만료 패턴 이상 징후 확인
• 동일 시간대 다수 엔드포인트 등록/스캔 이벤트 급증 여부 확인
7️⃣ 결론
이번 취약점은 “비인증 상태에서 시작될 수 있고, 관리자 대시보드 열람만으로 세션 탈취가 가능하다”는 점에서 실전 위험도가 높다. 이반티 EPM은 엔드포인트 관리의 중심에 있는 제품이므로, 관리자 권한이 탈취될 경우 조직 전체 인프라로의 확산이 우려된다.
따라서 가장 확실한 대응은 즉시 패치이며, 동시에 관리 포털의 노출 최소화, 강한 인증(2FA), 접근통제, 모니터링을 함께 적용하는 것이 안전하다.
'IT 소식 뉴스 > IT 소식' 카테고리의 다른 글
| 2026 ISMS·ISMS-P 변경 사항 (0) | 2025.12.14 |
|---|---|
| CISA, WinRAR 취약점 적극 악용 확인 (0) | 2025.12.14 |
| 국정원 AI 보안 가이드북 핵심 분석 (0) | 2025.12.14 |
| 개인정보위 2026년 업무계획- 사후제재 중심에서 사전예방 중심으로 개인정보 보호 체계 전환 예고 (0) | 2025.12.14 |
| 북한 해커 React2Shell 취약점 악용 EtherRAT 유포 (0) | 2025.12.14 |