close
프로필 배경
프로필 로고

일상 나누기

IT 소식 뉴스/CVE CODE · 2025. 11. 2. fullscreen 넓게보기

CVE-2025-61932 — Lanscope Endpoint Manager 원격 코드 실행 취약점

반응형

CVE-2025-61932 — Lanscope Endpoint Manager 원격 코드 실행 취약점

CVE-2025-61932 — Lanscope Endpoint Manager 원격 코드 실행 취약점 (요약 및 대응)

요약

지난 보안 리포트에 따르면, MOTEX의 Lanscope Endpoint Manager(클라이언트/탐지 에이전트, MR/DA)의 취약점 CVE-2025-61932는 인증 절차 우회 형태로 악용되어 원격에서 임의 코드 실행(RCE)이 가능했습니다. 공격자는 해당 취약점을 통해 권한 상승 및 악성페이로드(예: Gokcpdoor)를 배포하여 정보 유출·영속성 확보 등을 수행했습니다.

1. 영향 범위

  • 영향 대상: Lanscope Endpoint Manager 클라이언트(MR) 및 탐지 에이전트(DA) — 알려진 취약 버전은 9.4.7.2 및 그 이하.
  • 영향 영역: 온프레미스 환경의 클라이언트 프로그램과 에이전트(서버 자체는 영향 없음으로 보고됨).
  • 심각도: 공개 리포트 기준 CVSS 높은 점수(예: 9.x) — 원격 인증 없이 코드 실행 가능.

2. 공격 개요 (관찰된 행위)

  • 특수 조작된 패킷을 전송하여 인증 절차를 우회하고 임의 코드 실행.
  • 배포된 악성 페이로드(Gokcpdoor)는 DLL 사이드로딩 또는 정상 실행파일에 주입되는 방식으로 탐지를 회피.
  • 추가로 AD 덤프, 원격 데스크톱 사용, 7-Zip으로 압축·유출 등 정보 탈취 행위 관찰.

3. 알려진 IOC(Indicators of Compromise)

  • 비정상적인 외부 연결 포트: 38000, 38002 (관찰된 경우 집중 점검)
  • 의심 프로세스/서비스: 정상 Lanscope 프로세스 외에 포트 리스닝/비정상 프로세스 존재
  • 비정상적인 파일/압축 아카이브 업로드(예: file.io, LimeWire, Piping Server 등 외부 저장소로 전송 시도)
  • 사용자 및 시스템에서 발견되는 새로운 서비스, DLL 파일, 또는 알려지지 않은 로더(예: OAED, Havoc 연계 흔적)

4. 탐지(권장) — 바로 실행할 커맨드/검사

우선 네트워크·엔드포인트에서 다음 점검을 실시하세요.

# (Windows) 외부 연결 리슨/접속 확인 (관리자 권한 PowerShell 또는 CMD)
netstat -ano | findstr ":38000"
netstat -ano | findstr ":38002"

# (Windows) 의심 프로세스 확인
tasklist /v | findstr /i "lanscope"
tasklist /v | findstr /i "gokcpdoor"

# (PowerShell) 의심 프로세스의 모듈(로딩된 DLL) 확인
Get-Process -Name suspiciousProcessName | ForEach-Object { $_.Modules | Select-Object ModuleName,FileName }

# (Windows) 이벤트 로그에서 비정상 인증/서비스 에러 확인
wevtutil qe System /q:"*[System[(Level=2 or Level=3)]]" /c:200

# (네트워크) 외부 C2 접속 의심 호스트 확인 (방화벽/프록시 로그 활용)
# (Linux) 네트워크 측면에서 포트 리스닝 확인
ss -lntu | grep -E '38000|38002'

추가로 엔드포인트에서 다음을 확인하세요:

  • 프로세스 스캐닝(프로세스 이름·디스크 상 위치·디지털 서명 확인)
  • 시스템 시작 항목(startup), 서비스, 예약작업(cron/task scheduler) 확인
  • 파일 무결성 검증(에이전트 설치 디렉터리의 변경된 파일)

5. SIEM/IDS 탐지 룰 예시 (Suricata / Zeek)

# Suricata Example Rule
alert tcp any any -> any [38000,38002] (msg:"Lanscope suspicious port access"; flow:established; sid:1000001; rev:1;)

alert http any any -> any any (msg:"HTTP suspicious binary upload"; http.method; content:"POST"; pcre:"/\.exe|\.dll|\.bin|\.7z/i"; sid:1000002; rev:1;)

# Zeek Script (detect-lanscope-ports.zeek)
@load base/frameworks/notice
module DetectLanscope;
redef enum Notice::Type += { Lanscope::SuspiciousPort };
const suspicious_ports = {38000/tcp,38002/tcp};
event connection_established(c:connection) {
  if (c$id$resp_p in suspicious_ports)
    NOTICE([$note=Lanscope::SuspiciousPort, $msg=fmt("Suspicious connection %s", c$id$resp_p)]);
}

▶ 위 룰을 SIEM 연계 시, 38000, 38002 포트 접근 및 HTTP 전송 이벤트를 모니터링하도록 구성하세요.

6. PowerShell 검사 스크립트 (엔드포인트 점검용)

# Lanscope / CVE-2025-61932 quick check script
$OutDir = "$env:TEMP\lanscope_check_$(hostname)_$(Get-Date -Format 'yyyyMMdd_HHmmss')"
New-Item -ItemType Directory -Force -Path $OutDir | Out-Null

# 설치된 Lanscope 관련 정보
Get-Service | Where-Object {$_.DisplayName -match "Lanscope"} |
  Select Name, Status | Export-Csv "$OutDir\services.csv" -NoTypeInformation

# 포트 리스닝
netstat -ano | findstr "38000 38002" > "$OutDir\netstat_ports.txt"

# 프로세스 검사
Get-Process | Where-Object {$_.ProcessName -match "lanscope|gokcpdoor|oaed"} |
  Select Id, ProcessName, Path | Export-Csv "$OutDir\procs.csv" -NoTypeInformation

# 이벤트 로그 오류
Get-WinEvent -FilterHashtable @{LogName='System'; Level=2; StartTime=(Get-Date).AddDays(-3)} -MaxEvents 100 |
  Export-CliXml "$OutDir\system_errors.xml"

# 결과 압축
Add-Type -AssemblyName System.IO.Compression.FileSystem
[IO.Compression.ZipFile]::CreateFromDirectory($OutDir, "$OutDir.zip")

Write-Host "결과 ZIP: $OutDir.zip"

7. 긴급 완화(Immediate Mitigation)

우선 조치(가장 중요)
  1. 가능하면 즉시 해당 엔드포인트의 Lanscope MR/DA 에이전트를 네트워크에서 격리(오프라인)하세요.
  2. 단기간 패치 적용이 불가능할 경우 방화벽에서 포트 38000, 38002 차단(인바운드/아웃바운드 모두) 또는 해당 에이전트의 외부 네트워크 접근 차단.
  3. 의심 시스템의 메모리 덤프 및 ggserr.log 같은 로그 수집(엔드포인트 포렌식 준비).
  4. 관리자 패스워드 및 서비스 계정의 크리덴셜 교체·재발급을 검토(침해 시 재사용 위험).

8. 패치 및 영구 차단 권장사항

  • Vendor(MOTEX)가 배포한 보안 업데이트(보고시점 기준 최신 버전, 예: 9.4.7.3 이상)로 즉시 업그레이드 — 패치가 유일한 근본 해결책입니다.
  • 패치가 어려운 환경에서는 해당 에이전트를 네트워크 분리 또는 외부 네트워크 차단으로 운영.
  • 서버·관리 콘솔 접근 권한 제한, 에이전트 통신 암호화·인증 재검토.

9. 복구 및 포렌식 권장 절차

  1. 영향 시스템 목록화(호스트명, IP, 에이전트 버전, 설치 경로, 최근 재부팅/로그온 기록 등 수집).
  2. 의심 시스템에서 메모리 덤프·프로세스 덤프, 레지스트리(hives), 이벤트로그, 네트워크 캡처(pcap) 수집.
  3. 수집 자료를 안전한 포렌식 스토리지에 보관하고, 외부 유출 차단 후 분석 수행.
  4. 정상 시스템은 패치 완료 후 신속 재설치/검증, 침해시 증거 보존 후 클린이미지로 재구성 권장.

10. 통신·네트워크 모니터링 룰 예시 (빠른 대응)

# (방화벽 예시) 포트 차단
# Inbound / Outbound TCP 38000, 38002 차단 (관리 정책에 따라 적용)

# (IDS/IPS 룰) 비정상 포트 접근 또는 알려진 C2 IP/도메인 경고
# (SIEM) Event: process creation + network connect to external ip:38000/38002 -> 경고

11. 권장 알림·조직 내부 절차

  • 보안 담당자(IT/보안팀)는 즉시 영향 범위 파악·패치 계획 공유 및 긴급 대응 회의 소집.
  • 법무/컴플라이언스와 협의하여 내부 고지 및 필요시 관계기관(수사기관·규제 기관) 통보 절차 점검.
  • 외부 연계 시스템(공급망) 사용사는 패치 공지와 함께 유사한 점검을 권고.
긴급 체크리스트(요약)
  1. 에이전트 버전 확인(9.4.7.3 이상으로 업그레이드 권장)
  2. 네트워크: 포트 38000/38002 접속 시도 탐지 및 차단
  3. 의심 호스트 격리 및 포렌식·로그 수집
  4. 관리자 계정·서비스 계정 패스워드 변경(필요 시)
  5. 패치 배포 후 정상 동작·통신 점검 및 모니터링 강화

12. 참고(권고)

본 문서는 공개된 기술 리포트 및 관찰 결과를 바탕으로 작성된 일반적 대응 가이드입니다. 각 조직의 운영 환경(관리 콘솔 위치, 네트워크 정책, 에이전트 배포 구조 등)에 따라 우선순위·세부 절차는 달라질 수 있습니다. 긴급 상황에서는 내부 보안 대응 매뉴얼에 따라 포렌식·법무와 협의 후 조치하시기 바랍니다.

문의: 보안·운영 담당자와 즉시 공유하고, 패치 계획 수립 및 모니터링 규칙 반영을 권장합니다.

반응형
LIST
저작자표시 변경금지 (새창열림)

'IT 소식 뉴스 > CVE CODE' 카테고리의 다른 글

REDIS Lua — CVE-2025-49844 / 46817 / 46818 / 46819  (2) 2025.11.02
[PostgreSQL] CVE-2025-1094 — quoting API SQL Injection  (0) 2025.11.02
CVE-2024-5535 | OpenSSL SSL_select_next_proto 권한 상승 취약점  (4) 2025.10.30
Windows11 - 10월 CVE 목록 및 대응 방법 (CVE-2025-59275, CVE-2025-59261, CVE-2025-59210, CVE-2025-33073, CVE-2025-29828  (0) 2025.10.30
MS, WSUS 치명적 RCE(CVE-2025-59287) 재배포 — 즉시 패치적용 권고  (0) 2025.10.28
IT 소식 뉴스/CVE CODE 관련 글
더 보기

티스토리툴바