[긴급] 비욘드트러스트 원격지원 제품, 인증 없는 RCE 취약점 발견…위협 심각

2025-06-19

과학 기술안전

CVSS 점수 8.6…외부에서 인증 없이 공격 가능

채팅 기능 통해 서버 명령 실행 가능해 위험

온프레미스 시스템은 여전히 심각한 공격 위험에 노출돼 있어

아이덴티티 보안 솔루션 기업 비욘드트러스트(BeyondTrust) 대표 제품인 Remote Support(원격지원) 및 Privileged Remote Access(특권 원격접속)에서 인증 없이 원격 코드 실행(Remote Code Execution, RCE)이 가능한 고위험 취약점(CVE-2025-5309)이 발견됐다. 해당 취약점은 채팅 기능에 존재하는 서버 측 템플릿 삽입(Server-Side Template Injection, SSTI)으로, 공격자가 인증 없이 악성 코드를 실행할 수 있게 만든다.

■채팅 기능 통해 서버 명령 실행 가능

템플릿 엔진은 사용자 입력값과 백엔드 데이터를 결합해 웹 페이지를 동적으로 생성하는 데 사용된다. 그러나 입력값이 적절히 필터링되지 않으면 공격자는 코드 실행 구문을 삽입할 수 있다. 이번 취약점은 채팅 입력 필드에서 템플릿 구문이 제대로 차단되지 않아 공격자가 {{7*7}}와 같은 표현식을 넘겨 서버 측에서 실행하게 만들 수 있다. 더 심각한 경우, 다음과 같이 운영체제 명령을 직접 실행하는 것도 가능하다.

■CVSS 점수 8.6…외부에서 인증 없이 공격 가능

이번 취약점은 **CVSS v4.0 기준 8.6점(높음)**으로 평가된다. 네트워크를 통해 외부에서 접근 가능하며, 인증이나 사용자 상호작용이 전혀 필요 없다. 또한 시스템의 기밀성, 무결성, 가용성 모두에 영향을 줄 수 있는 심각한 위협이다.

다수의 코드 삽입 취약점은 내부 권한이 있어야 발동되지만, CVE-2025-5309는 외부에서도 누구나 공용 인터페이스를 통해 직접 공격할 수 있다는 점에서 특히 위험성이 높다.

비욘드트러스트는 2025년 6월 16일부로 모든 클라우드 기반 RS/PRA 인스턴스에 자동으로 패치를 적용했다고 밝혔다. 그러나 온프레미스(내부 구축형) 환경에서는 수동으로 패치를 적용해야 한다.

■영향받는 버전:

-Remote Support: 24.2.224.2.4, 24.3.124.3.3, 24.3.4 포함한 24.3.x 전체

-Privileged Remote Access: 24.2.224.2.4, 24.3.124.3.3, 25.1.1

■패치된 버전:

-Remote Support: 24.2.4 이상, 24.3.3 이상, 향후 모든 24.3.x 및 25.x 버전

-Privileged Remote Access: 24.2.4 이상, 24.3.3 이상, 25.1.2 이상

비욘드트러스트는 해당 취약점에 대한 공식 보안 권고문 BT25-04를 발행하고, 기술적 설명과 대응 방법을 안내하고 있다.

온프레미스 환경에서 당장 패치가 어려운 경우, 다음과 같은 보안 설정을 통해 위험을 완화할 수 있다.

-SAML 인증 활성화: 퍼블릭 포털 접근 시 인증 절차를 강화해 공격 차단

-세션 키 사용 강제화: 대표자 목록 및 이슈 제출 설문 비활성화

-패치 로그 확인: /appliance 관리 페이지에서 패치 적용 여부 점검

■반복되는 비욘드트러스트 보안 이슈

이번 보안 이슈는 최근 6개월 사이에 드러난 세 번째 고위험 취약점이다. 지난해 12월, 비욘드트러스트의 SaaS 인프라에서는 두 건의 제로데이(CVE-2024-12356, CVE-2024-12686)와 PostgreSQL 제로데이(CVE-2025-1094)를 통한 침해 사고가 발생한 바 있다. 이 공격으로 17개의 원격지원 SaaS 인스턴스가 손상됐고, 유출된 API 키는 광범위한 공격에 사용됐다.

이 사건은 이후 미 재무부의 해킹과 연결되었고, 중국 정부와 연계된 해커 조직 Silk Typhoon(실크 타이푼)이 OFAC(해외자산통제국)과 CFIUS(외국인투자심의위원회)의 비공식 제재 자료 및 민감 문서를 열람한 것으로 알려졌다. 해당 취약점은 미 사이버안보청(CISA)의 공격에 악용된 취약점 목록(KEV)에 포함되며, 연방기관은 일주일 내 보안조치를 완료해야 했다.

서버 측 템플릿 삽입(SSTI) 분야에 정통한 한 보안 전문가는 “템플릿 엔진이 사용자 입력을 제대로 필터링하지 않으면, 채팅과 같은 단순 입력 필드도 전체 시스템 권한 탈취의 통로가 될 수 있다. 특히 이번 취약점은 인증 없이도 공격이 가능하다는 점에서 매우 심각하다.”고 경고했다.

이번 CVE-2025-5309 취약점은 비욘드트러스트 솔루션을 사용하는 수많은 기업의 보안 리스크를 높이고 있다. 클라우드 이용자는 이미 보호받고 있지만, 온프레미스 시스템은 여전히 심각한 공격 위험에 노출돼 있다. 관리자는 지금 당장 패치를 적용하고, 포털 접근 제어 강화, 로그 분석 등 다층적인 대응 전략을 마련해야 한다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

Menu

Kollo 를 통해 내 지역 속보, 범죄 뉴스, 비즈니스 뉴스, 스포츠 업데이트 및 한국 헤드라인을 휴대폰으로 직접 확인할 수 있습니다.

인기 도시
인기 카테고리