ZIP 파일 실행 시 주의! 7-Zip 원격 코드 실행 취약점 발견
ZIP 파일 실행 시 주의! 7-Zip 원격 코드 실행 취약점 발견
by 이스트시큐리티 마케팅팀 안녕하세요, 이스트시큐리티입니다. 파일 압축 해제 프로그램 7-Zip에서 심각한 원격 코드 실행 (RCE) 취약점 두 건이 보고되어 즉시 업데이트가 필요합니다. 이 취약
blog.alyac.co.kr
7-Zip 취약점
- ZDI(Zero Day Initiative)는 '7-ZIP File Parsing Directory Traversal Remote Code Execution Vulnerability'로 보고
- ZDI-25-949 / ZDI-CAN-26753으로 식별
해당 취약점이 갖는 문제
- 7-Zip 25.00 버전에서 수정: 해당 버진 미만에서는 디렉터리 탐색(Path Traversal)과 심볼릭 링크 처리가 취약함
- 공격자는 특수하게 조작된 ZIP 아카이브를 제작해 압축 해제 시 상대경로와 심링크 정보를 악용하고 임의의 절대경로 위치에 시스템 파일을 덮어쓰거나 실행 가능한 악성 페이로드를 배치 가능함
- 현재 PoC(개념증명) 코드가 공개되어 있으며, 이를 악용한 스크립트나 자동화 도구 제작할 가능성이 커짐
취약점 세부 정보
- 공식 식별자: ZDI-25-949 / ZDI-CAN-26753
- CVE: CVE-2025-11001
- CVSS: High(공식 벡터값 미확정)
- 영향 버전: 7-Zip 21.02 ~ 24.09
- 패치: Fixed in 7-Zip 25.00
- 공개/권고 일정: 신고(2025-05-02) -> 공동 공지 및 권고(2025-10-07)
- 보고자: Ryota Shiga (GMP Flatt Security INC.) 및 takumi-san.ai
위험성
- 우선 위험군: 개발자 pc, CI/CD 빌드 서버, 파일서버 및 자동 추출 서비스, 관리자나 서비스 계정이 사용되는 워크스테이션
- 운영체제: Windows 환경에서 주로 보고, p7zip 등 유사 추출 로직 포함한 Linux/Unix 패키지 패치 필요
- 악용 가능성: PoC 공개로 인해 표적화된 공격에서 악용될 가능성 커졌으며, 정조준형 내부 침투에 악용될 가능성 높음
조치 권장 사항
- 즉시 업데이트
- 신뢰되지 않는 아카이브 열지 않기
- 자동화 시스템 격리: 임시 VM/컨테이너에서만 실행
- 심볼릭 링크 옵션 비활성화
- 특권 분리
- AV·EDR 최신화 및 모니터링
탐지 및 대응 포인트
- 탐지 지표
- 압축 해제 직후 Desktop, System32, UNC 경로 등에 생성된 실행 파일
- 심볼릭 링크 생성 이벤트
- 아카이브 내부의 상대 경로 패턴
- EDR 경보 예시
- 7z.exe 또는 압축 해제 관련 프로세스가 사용자 프로필에 실행 파일 생성할 때 알람을 설정
- 대응 절차
- 의심 파일 발견 시 격리 장소로 이동
- 오프라인 샌드박스에서 분석
- PoC 및 익스플로잇 유무 확인
- 동일 아카이브 수신자와 추출 로그 기반으로 영향 범위 조사
- 패치, 정책 보완 및 사용자 공지 실시
'swuforce 심화팀 > 기술스터디' 카테고리의 다른 글
| [IGLOO] "2026년도 사이버보안 실태 평가지표" 주요 개정내용으로 본 공공 보안 정책의 변화 (0) | 2026.01.13 |
|---|---|
| [ASEC] VPN 홈페이지에서 유포 중인 NKNShell 악성코드 (0) | 2025.11.18 |
| [IGLOO] 정보보호 컨설팅(보안컨설팅)이란 무엇인가요? (0) | 2025.11.04 |
| [안랩 ASEC 리포트] Trigona 랜섬웨어 최신 공격 분석 (0) | 2025.10.28 |
| [ESTsecurity] 막을 틈 없는 사이버 위협, '제로데이 공격'이란? (0) | 2025.09.28 |