포티넷은 오늘, 공격자들이 FortiOS와 FortiProxy에서 인증 우회 제로데이 버그를 이용하여 포티넷 방화벽을 해킹하고 기업 네트워크를 침투하고 있다고 경고했습니다. 이 취약점(CVE-2025-24472)을 성공적으로 악용하면 원격 공격자들이 악의적으로 조작된 CSF 프록시 요청을 통해 슈퍼 관리자 권한을 얻을 수 있습니다. 이 보안 결함은 FortiOS 7.0.0부터 7.0.16, FortiProxy 7.0.0부터 7.0.19, 그리고 FortiProxy 7.2.0부터 7.2.12에 영향을 미칩니다.
포티넷은 지난달 발행한 보안 고지에 이 버그를 새로운 CVE-ID로 추가했습니다. 이 고지에서는 위협 요소들이 FortiOS와 FortiProxy 인증 우회(CVE-2024-55591)를 적극적으로 악용하고 있음을 고객들에게 경고했습니다. 그러나 회사는 설명에 따르면, CVE-2024-55591 제로데이는 Node.js 웹소켓 모듈에 악의적인 요청을 보내는 것으로 악용될 수 있습니다.
공격자들은 이 두 가지 취약점을 악용하여 영향을 받은 장치에 무작위 관리자 또는 로컬 사용자를 생성하고, 이들을 새로운 및 기존의 SSL VPN 사용자 그룹에 추가합니다. 또한, 그들은 방화벽 정책과 기타 설정을 수정하고, 이전에 설정된 악성 계정으로 SSLVPN 인스턴스에 접근하여 내부 네트워크에 터널을 형성합니다.
요약
- 포티넷은 FortiOS와 FortiProxy에서 인증 우회 제로데이 버그를 이용하여 포티넷 방화벽을 해킹하고 기업 네트워크를 침투하고 있다고 경고했다.
- 이 취약점을 성공적으로 악용하면 원격 공격자들이 악의적으로 조작된 CSF 프록시 요청을 통해 슈퍼 관리자 권한을 얻을 수 있다.
- 공격자들은 이 두 가지 취약점을 악용하여 영향을 받은 장치에 무작위 관리자 또는 로컬 사용자를 생성하고, 이들을 새로운 및 기존의 SSL VPN 사용자 그룹에 추가한다.
- 그들은 방화벽 정책과 기타 설정을 수정하고, 이전에 설정된 악성 계정으로 SSLVPN 인스턴스에 접근하여 "내부 네트워크에 터널을 형성한다."
- 포티넷은 즉시 보안 업데이트를 배포할 수 없는 관리자들에게 취약한 방화벽을 보호하기 위해 HTTP/HTTPS 관리 인터페이스를 비활성화하거나 로컬 정책을 통해 이에 접근할 수 있는 IP 주소를 제한하는 것을 권장했다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.