Fortinet VPN의 취약점을 악용 가능한 도메인 목록이 공개되었다.
해당 공격에 사용되는 취약점은 Fortinet FortiOS SSL VPN의 결함인 CVE-2018-13379로 이 취약점을 이용해 공격자는 원격에서 조작된 HTTP 요청을 이용해 시스템 파일에 접근할 수 있으며 공개된 Exploit을 이용해 sslvpn_websession 파일에 접근하여 로그인 자격 증명을 훔칠 수 있고 이를 통해 네트워크를 손상시키고 랜섬웨어를 배포할 수 있다.
해당 취약점은 1년 전에 공개되었지만 여전히 패치되지 않은 도메인이 50,000개에 달하며 http://twitter.com/Bank_Security/status/1329903459039129607에 악용 가능한 대상인 49,577개의 목록이 공개되었고 여기에는 은행 및 정부 기관도 속해 있어 주의가 필요하다.
11월 23일 Fortinet은 해당 취약점에 대하여 2019년 05월 발표한 패치 발표문을 다시 언급하는 것과 함께 해당 취약점을 패치 할 것을 강력하게 권장한다고 전했다.
* 영향을 받는 제품
FortiOS 6.0-6.0.0-6.0.4
FortiOS 5.6-5.6.3-5.6.7
FortiOS 5.4-5.4.6 ~ 5.4.12
(위와 다른 분기 및 버전은 영향을받지 않음)
SSL VPN 서비스 (웹 모드 또는 터널 모드)가 활성화된 경우에만 해당됩니다.
* 솔루션
FortiOS 5.4.13, 5.6.8, 6.0.5 또는 6.2.0 이상으로 업그레이드하십시오.
다음과 같은 제품을 보유하고 있거나 취약점을 알고 있으나 패치가 되지 않았다면 빠른 패치를 진행할 것을 전하며 해당 취약점뿐만 아니라 지난 취약점이라고 할지라도 패치 프로세스에 대한 대응이 오래 걸리고 통제 범위안에 있지 않은 시스템으로 인하여 공격 대상이 될 수 있으므로 자산에 대한 현황과 버전을 확인할 수 있도록 하며 이에 대한 패치를 통해 위협을 제거하는 것이 중요하겠다.
[참고자료]
https://www.fortiguard.com/psirt/FG-IR-18-384
보안관제센터 Team MIR