해커, 포티넷 VPN 패치 후에도 시스템에 접근하는 신종 지속 기법 사용해 공격...주의

요약	- Fortinet은 최근 자사 FortiGate VPN 장비에서 구버전 취약점을 악용한 공격 이후에도 해커가 여전히 ‘읽기 전용(Read-only)’ 접근 권한을 유지하고 있다고 경고 - Fortinet은 FortiOS 최신 버전을 배포해 해당 취약점과 심볼릭 링크를 제거할 수 있도록 조치
내용	- Fortinet > 해커가 FortiGate VPN 구버전 취약점을 악용한 공격 이후에도 여전히 '읽기 전용' 접근 권한을 유지하고 있음을 경고 > SSL-VPN 기능을 악용해 기기 내부에 심볼릭 링크를 생성해 패치가 완료된 이후에도 시스템에 접근하는 새로운 지속 기법을 사용 - FortiOS 내 알려진 취약점(CVE-2022-42475, CVE-2023-27997, CVE-2024-21762 등)을 통해 포티게이트 장비에 침투 > 이후 SSL-VPN 기능의 언어 파일 디렉터리 내에 심볼릭 링크를 생성해 사용자 파일 시스템과 루트 파일 시스템을 연결 > SSL-VPN 웹 인터페이스를 통해 공격자가 민감한 설정 파일에 접근할 수 있도록 함 ※ CVE-2022-42475 (CVSS: 9.8) FortiOS SSL-VPN, FortiProxy SSL-VPN에서 발견된 힙 기반 버퍼 오버플로우 취약점으로, 인증되지 않은 원격 공격자가 특수하게 제작된 요청을 전송하여 임의의 코드나 명령을 실행할 수 있음 ※ CVE-2023-27997 (CVSS: 9.8) FortiOS, FortiProxy에서 발견된 힙 기반 버퍼 오버플로우 취약점으로 SSL-VPN 인터페이스에서 발생하며, 원격 공격자가 특수하게 제작된 요청을 전송하여 임의의 코드나 명령을 실행할 수 있음 ※ CVE-2024-21762 (CVSS: 9.8) Fortinet FortiOS, FortiProxy에서 발견된 범위를 벗어난 쓰기 취약점으로, 공격자가 시스템에서 임의의 명령을 실행할 수 있음 - 심볼릭 링크로 지속적 접근 유지 > 공격자가 생성한 심볼릭 링크는 펌웨어 업그레이드나 시스템 재부팅 이후에도 삭제되지 않음 > 해커는 장비의 파일 시스템에 대한 읽기 전용 접근 권한을 지속적으로 유지할 수 있었음 - 포티넷의 대응 및 권고 사항 > FortiOS 최신 버전(7.6.2, 7.4.7, 7.2.11, 7.0.17, 6.4.16)을 배포해 해당 취약점과 심볼릭 링크를 제거할 수 있도록 조치 > 또한 SSL-VPN 인터페이스가 더 이상 심볼릭 링크를 서비스하지 않도록 변경 > 고객에게 즉시 장비를 최신 버전으로 업그레이드하고, 설정 파일의 무단 변경 여부를 검토하며 노출 가능성이 있는 자격 증명을 재설정할 것을 권고 - 보안전문가들은 단순히 FortiOS를 최신 버전으로 업데이트하는 것만으로는 충분하지 않다고 경고 > 장비 설정을 철저히 검토해 의심스러운 변경 사항이 있는지 확인 > 관리자 계정과 VPN 사용자 계정을 포함한 모든 자격 증명을 반드시 재설정 > 긴급한 상황에서는 SSL-VPN 기능을 일시적으로 비활성화 > 포렌식 분석을 통해 침해 여부를 면밀히 확인
기타	- 침해 시 공격자가 심볼릭 링크를 만들어 접근 권한이 없는 디렉터리나 파일에 간접 접근할 수 있는 수단으로 악용 가능 > 해커가 장비 내에 심볼릭 링크를 남기면 패치 이후에도 내부 시스템을 간접적으로 들여다볼 수 있는 창구로 악용될 수 있음 - 해당 취약점 악용 기법은 2023년 초부터 전 세계적으로 광범위하게 사용된 것으로 확인 > 프랑스 국가정보시스템보안청(ANSSI) 산하 CERT-FR은 프랑스 내 수많은 Fortinet 장비 침해 사실 공개 > 미 사이버안보 및 기반시설 보안국(CISA)은 유사한 피해 사례를 확인하고 관리자들에게 주의 당부

 

보안뉴스

해커, 포티넷 VPN 패치 후에도 시스템에 접근하는 신종 지속 기법 사용해 공격...주의 - 데