포티넷 사이버 보안 업데이트 실패; 제로데이 취약점이 위협 행위자에 의해 악용됨

한 주 전, 사이버 보안 회사 포티넷은 위협 행위자가 무단 명령이나 코드를 실행할 수 있게 하는 고위험 보안 취약점 CVE-2022-41328을 수정하기 위해 보안 업데이트를 배포했습니다.

이를 좀 더 설명하자면, 일부 익명의 위협 행위자들이 제로데이 취약점을 이용하여 포티넷의 FortiOS에서 버그를 악용하여 정부 및 대규모 조직을 표적으로 삼았으며, 궁극적으로 운영 체제, 파일 손상 및 데이터 손실로 이어졌습니다.

FortiOS는 이름에서 알 수 있듯이 포티넷의 운영 체제로, 기업들이 네트워크 보안 운영 체제를 사용하는 데 사용됩니다. 이는 통합 보안 접근, 네트워크 보안 등을 통해 고급 위협 보호를 제공합니다.

결함 안내에서는 위협 공격자가 패치되기 전에 악용한 버그에 대해 언급하지 않았습니다. 보안 회사에서 발표한 보고서에 따르면 CVE-2022-41328이 드러났지만, 이 결함은 고객 중 한 명의 여러 포티넷 FortiGate 방화벽 장치를 백도어로 설정하고 분해하는 데 사용되었습니다.

“FortiOS의 제한된 디렉토리로의 경로 이름의 부적절한 제한 취약점 (경로 탐색) [cve-22]는 특권 공격자가 조작된 CLI 명령을 통해 임의의 파일을 읽고 쓸 수 있게 할 수 있습니다,”라고 회사는 안내문에서 언급합니다.

다음은 FortiOS 6.4.0에서 6.4.11, FortiOS 7.0.0에서 7.0.9, 버전 7.2.0에서 7.2.3 및 FortiOS 6.0에서 6.2의 모든 다른 버전의 손상된 버전입니다.

읽기: Bitwarden 비밀번호 관리자의 자동 완성 기능이 iframe 기반 자격 증명 도난에 취약함

악용을 패치하기 위해 관리자는 취약한 보안 회사의 ForniOS 버전 6.4.12를 FortinetOS 버전 7.0.10 이상으로 업그레이드해야 했습니다.

보안 회사는 포티넷의 손상된 장치가 FIPS 오류: Fire integrity self-test failed 메시지로 인해 오류 모드에 들어가면서 종료된 후 이를 발견했습니다. 시스템이 다시 시작되지 않았습니다.

회사는 FIPS가 활성화된 장치가 시스템 구성 요소의 무결성을 확인하고, 악용이 식별되면 네트워크 침해를 차단하기 위해 종료하고 부팅을 중단하도록 설계되었다고 언급합니다.

방화벽은 대상 네트워크의 FortiManager를 통해 악용되었으며, 모든 방화벽이 동시에 중지되었음을 주목해야 합니다. 이는 동일한 전술로 해킹되었음을 의미하며 FortiGate 경로 탐색 악용이 FortiManager를 통해 수행된 스크립트와 동시에 시작되었습니다.

이후 조사 결과, 공격자들이 부팅 프로세스가 시작되기 전에 장치 펌웨어 이미지를 변경하여 페이로드 (/bin/fgfm)를 실행했습니다.

악성 코드는 데이터 유출을 허용하고, “;7(Zu9YTsA7qQ#vm” 문자열이 포함된 ICPM 패킷을 수신할 때 원격 셸을 열거나 파일을 다운로드하고 작성할 수 있게 했습니다.

사이버 보안 회사는 공격이 정부 네트워크를 선호했다는 증거와 함께 매우 표적화되었다고 언급합니다. 위협 행위자들은 포티넷의 장치 운영 체제를 역공학하는 고급 능력을 보여주었습니다.

공격은 매우 표적화되었으며, 정부 및 정부 관련 대상을 선호했다는 증거가 일부 있습니다, 포티넷이 언급합니다.

이 악용은 FortiOS 및 그 하드웨어에 대한 깊은 이해를 요구합니다. 조사는 공격자들이 보안 회사의 운영 체제의 여러 부분을 역공학할 수 있는 고급 능력을 가지고 있음을 보여줍니다. 포티넷 고객은 가능한 공격 시도를 차단하기 위해 패치된 버전으로 업그레이드할 것을 권장합니다.

읽기: 바이든캐시 유출: 200만 개 이상의 신용/직불 카드와 개인 정보 노출