아무도 보고 싶지 않은 헤드라인
보안 업계는 종종 방어자들을 불안하게 만드는 헤드라인을 접할 때가 있습니다: "iOS 0일 익스플로잇, 야생에서 활발히 사용됨." 2025년 초, 그 헤드라인에는 이름이 있었습니다: CVE-2025-24085.
이 취약점은 이론적인 것이 아닙니다. 이 취약점은 패치가 적용되기 전에 Apple에 의해 확인되었으며, 현재 공개 연구 덕분에 PoC 세부 정보가 유포되고 있습니다. 따라서 CVE-2025-24085는 단순히 연구자들의 호기심을 자극하는 것이 아니라 Apple을 많이 사용하는 기업을 관리하는 방어자에게는 적색 경보 항목입니다.
결함이 숨어 있는 곳
내부에 숨어있는 CVE-2025-24085 CoreMedia는 Apple의 미디어 처리 스택의 대부분을 구동하는 하위 시스템입니다. CoreMedia는 단순히 동영상을 재생하는 데 그치지 않습니다. 프로세스 간의 통신을 지원하고 메타데이터 구문 분석을 처리하며 다음과 같은 하위 수준 프레임워크를 연결합니다. AV재단 그리고 미디어 도구 상자 높은 수준의 API를 제공합니다.
연구원들은 이 문제를 리메이커 하위 시스템 미디어툴박스 내에서, 특히 그림 리메이커 트랙 객체를 관리합니다. 제작되고 범위를 벗어난 trackID를 사용하면 공격자는 트랙 객체가 다른 곳에서 참조되고 있는 동안 조기 릴리스를 트리거할 수 있습니다. 이것이 교과서적인 정의입니다. 사용 후 무료(UAF) 버그 - 모든 코드에서 충분히 위험하지만 특히 내부에서 위험합니다. 미디어 재생는 iOS에서 핵심 미디어 재생을 처리하는 프로세스입니다.
통제된 데모에서 이 버그는 다음과 같이 에스컬레이션됩니다. 더블 무료 를 호출하여 매달린 참조가 남아 있는 동안 정리를 요청합니다. 그 결과 지금은 충돌이 발생하지만 실제 익스플로잇 체인에서는 잠재적으로 샌드박스 탈출을 위한 안정적인 발판이 될 수 있습니다.
영향 범위
생각할 수 있는 거의 모든 Apple 기기가 영향을 받습니다:
- iPhone 및 iPad iOS 18.3 이전 버전을 실행하는 경우
- Mac 시스템 패치된 macOS 빌드 이전
- Apple 시계 그리고 Apple TV에서 동일한 코어미디어 로직이 적용됩니다.
iOS 17 빌드에서는 메모리 할당자 설계로 인해 익스플로잇이 훨씬 쉬워졌습니다. Apple은 iOS 18에서 코어파운데이션의 할당기를 강화하여 공격자의 공격 기준을 높였지만, 결정적으로 위험을 완전히 제거하지는 못했습니다. 그렇기 때문에 이미 업그레이드한 환경에서도 패치가 시급한 상황입니다.
헤드라인부터 위협 컨텍스트까지
Apple의 자체 권고에 따르면 CVE-2025-24085는 야생 익스플로잇 체인의 일부일 수 있다고 합니다. 타임라인을 자세히 살펴보면 의심스러운 패턴을 발견할 수 있습니다: iOS 17.2 및 17.3에서 WebKit 및 UIProcess 버그가 CoreMedia 결함과 함께 패치되었습니다. 이는 CVE-2025-24085가 코어미디어 취약점과 함께 2단계 역할를 사용하여 브라우저 프로세스에 착륙한 공격자가 피벗을 통해 미디어 재생 를 클릭하고 샌드박스 탈출을 시도합니다.
이는 근거 없는 추측이 아닙니다. 연구원들은 애플이 다음과 같이 인정했다고 지적합니다. "적극적인 악용 보고" 이 종류의 버그는 매우 복잡하고 표적화된 캠페인에 등장했습니다. 방어자 입장에서는 이 정도면 단순한 화요일 CVE 패치가 아닌 그 이상의 것으로 분류할 수 있습니다.
방어적 딜레마
PoC 세부 정보가 공개되면 방어자는 역설에 직면하게 됩니다. 한편으로는 버그를 재현하고, 위험을 파악하고, 패치를 검증할 수 있다는 점에서 유용합니다. 반면에 공개 PoC는 리소스가 적은 공격자에게는 시작점이 될 수 있습니다. 프로덕션 시스템에서 익스플로잇 코드를 실행하는 것은 무모한 일이지만, PoC 공개를 무시하면 방어자는 아무것도 알 수 없습니다.
여기에서 대화가 전환됩니다. "이걸 악용할 수 있을까요?" 에 "어떻게 안전하게 검증할 수 있을까요?"
AI 펜테스트 도구 입력
기존의 모의 침투 테스트 도구는 이러한 딜레마를 해결하지 못합니다. 최신 CVE에 대한 모듈이 없거나 엔지니어가 위험한 익스플로잇 스크립트를 수정해야 하기 때문입니다. An AI 펜테스트 도구 같은 펜리전트 는 다른 접근 방식을 취합니다.
익스플로잇 코드 대신 방어자가 실제로 필요로 하는 것을 제공합니다:
- 위생 처리된 Python 개념 증명 코드 위험한 페이로드 없이 결함을 입증합니다.
- 일반 영어 설명 기술적 세부 사항을 위험 컨텍스트에 매핑하는
- 구체적인 해결 단계 영향력별 우선 순위
워크플로우가 자연스럽게 느껴집니다. 입력합니다:
"내 iOS 엔드포인트에서 CVE-2025-24085를 확인합니다."
펜리전트는 방어적인 PoC를 반환하고, 코어미디어가 어떻게 실패하는지 알려주며 감사 준비된 증거 번들크래시 로그, IPC 해체 추적, 버전 불일치. 또한, 자동 생성 기능도 제공합니다. 문제 해결 플레이북영향을 받는 호스트 목록, 현재 패치 상태, 엔지니어가 즉시 배포할 수 있는 우선 순위가 지정된 수정 사항을 제공합니다.
이를 통해 0일간의 헤드라인을 실행 가능한 인텔리전스로 전환할 수 있습니다. 추측이나 공개 익스플로잇으로 도박을 할 필요가 없습니다.
익스플로잇이 아닌 방어적 유효성 검사
핵심은 리프레이밍입니다. 펜리젠트는 CVE-2025-24085를 공격자를 위한 청사진으로 취급하지 않습니다. 이를 수비수를 위한 적신호. 생성되는 모든 것은 검증과 수정에 관한 것입니다. 라이브 셸코드, 프로덕션 위험, 악용에 대한 지침이 없습니다. 그 결과 공격 기능이 아닌 방어적 보증이 제공됩니다.
기업에서는 이러한 구분이 중요합니다. 보안 리더는 감사자에게 추적 가능한 프로세스를 보여줄 수 있습니다:
- 노출을 확인했습니다.
- 안전하게 검증했습니다.
- 패치했습니다.
- 문서화했습니다.
이러한 종류의 반복 가능한 흐름은 "수정할 발견" 창 극적으로.
미래를 위한 교훈
CVE-2025-24085는 마지막 iOS 0-day가 아닙니다. 더 많은 CoreMedia 결함이 드러날 것이고, 더 많은 WebKit 버그가 나타날 것이며, 더 많은 익스플로잇 체인이 모바일 플랫폼을 타깃으로 할 것입니다. 중요한 것은 새로운 CVE가 나올 때마다 중단되지 않는 워크플로를 구축하는 것입니다.
자동화 및 AI 기반 펜테스팅 도구는 방어자가 어떻게 적응할 수 있는지 보여줍니다. 펜리전트 같은 도구는 자연어를 PoC 개념, 위험 설명, 패치 플레이북으로 번역하여 팀이 사후 대응에서 사전 예방적 제어로 전환할 수 있도록 도와줍니다.
