1. 개요
최근 Fortinet사의 업데이트 되지 않은 FortiOS SSL VPN을 대상으로 알려진 취약점을 이용하여 공격이 활발하게 이루어지고 있다. 공격에 사용된 취약점은 CVE-2018-13379, CVE-2019-5591, CVE-2020-12812이며 해당 취약점들은 2021년 현재, FortiOS의 보안 패치에 의해 해결 방안이 제시된 상태이다. 그러므로 FortiOS의 보안 패치를 적용하지 않은 사용자들은 공격자들의 타겟이 되지 않기 위해 하루빨리 보안 패치 적용을 권고한다.
공격자들은 취약한 제품을 통해 침투에 성공한 뒤 2020년 12월에 최초 발견된 Cring 랜섬웨어로 현재까지 공격을 진행 중이다.
2. FortiOS 취약점
최근 공격에 주로 사용된 취약점은 총 3가지(CVE-2018-13379, CVE-2019-5591, CVE-2020-12812)이다. CVE-2018-13379를 통해 4443,8443,10443포트를 스캐닝하고 CVE-2019-5591와 CVE-2020-12812를 통해 취약한 장치들을 나열했다.
공격자들은 해당 취약점을 이용하여 피해 PC 및 서버에 최종적으로 Cring 랜섬웨어를 감염시킨다.
|
CVE-2018-13379
* HTTP Request 리소스 조작을 통해 인증되지 않은 공격자가 FortiOS 시스템 파일을 다운로드할 수 있는 FortiOS SSL VPN 웹 경로 탐색 취약점(Path Traversal) * 영향 받는 FortiOS 버전 > FortiOS 6.0.0 ~ 6.0.4 |
|
CVE-2019-5591
* 동일한 서브넷에 있는 인증되지 않은 공격자가 LDAP 서버로 위장하여 민감한 정보를 가로챌 수 있는 FortiOS의 기본 구성 취약점 * 영향 받는 FortiOS 버전 > FortiOS 6.2.0 이하 버전 |
|
CVE-2020-12812
* 사용자 이름의 대소문자를 변경한 경우 두번째 인증 요소인 FortiToken 입력 메시지가 표시되지 않고 로그인할 수 있는 FortiOS SSL VPN의 부적절한 인증 취약점 * 영향 받는 FortiOS 버전 > FortiOS 6.4.0 |
3. Cring 랜섬웨어
공격자는 CVE-2018-13379 취약점을 통해 네트워크에 접근하고 Mimikatz를 사용해 Windows 사용자 자격 증명을 훔쳐 공격 대상의 기업 네트워크의 도메인 관리자 계정을 제어했다. 그 후, 악성 PowerShell 스크립트를 통해 Cobalt Strike를 배포하여 랜섬웨어를 유포했고 공격이 들키지 않기 위해 파일을 Kaspersky Lab이나 다른 보안 제품 제공 업체로 위장했다.
[그림1. Cring ransomware attack flow(Kaspersky)]
Cring 랜섬웨어는 백업 파일을 제거하고 Microsoft Office 및 Oracle Database 프로세스를 종료한 후 암호 알고리즘(RSA-8192 + AES-128)을 사용하여 특정 파일을 암호화한다.
Cring 랜섬웨어에 감염되면 ‘!!!!! readme.rtf and deReadMe !!!. txt’라는 이름의 랜섬노트를 확인할 수 있고, 랜섬노트에는 네트워크 암호 해독키를 대가로 2 비트코인을 요구하는 내용이 있다.
[그림2. Cring 랜섬노트(!!!!! readme.rtf and deReadMe !!!. txt) ]
Cring 랜섬웨어는 2020년 12월에 처음 등장했으며 지금까지 30개의 샘플이 ID-Ransomware 서비스에 제출되었다. 2021년 1월 말 이후부터 하루에 최소 1개 이상이 확인되었다.
[그림3. Cring 랜섬웨어 활동(ID-Ransomware)]
4. 해결 방안
* CVE-2018-13379
> FortiOS 버전 업데이트
> FortiOS 5.4.13 버전
> FortiOS 5.6.8 버전
> FortiOS 6.0.5 버전
> FortiOS 6.2.0이상 버전으로 업데이트
> 임시 해결 방안 : CLI 명령으로 SSL VPN 서비스 비활성화 (1~8는 CLI 명령어 순서)
1. config vpn ssl settings
2. config authentication-rule
3. purge (purge all authentication-rules)
4. end
5. end
6. config firewall policy
7. delete [policy-id] (srcintf가 “ssl.root”이고 dstintf가 “port1”인 SSL VPN 정책 ID)
8. end
* CVE-2019-5591
> 6.0.3 ~ 6.2.0 버전 사용자의 경우 LDAP 서버 ID를 확인하는 CLI 옵션 활성화.
> 해당 옵션은 LDAP 서버의 secure 및 ca-cert가 설정된 경우만 활성화 가능 (1~5는 CLI 명령어 순서)
1. config user ldap
2. edit ldap-server
3. set ca-cert
4. set secure ldaps
5. set server-identity-check enable
* CVE-2020-12812
> FortiOS 버전 업데이트
> FortiOS 6.4.1 이상 버전
> FortiOS 6.2.4 이상 버전
> FortiOS 6.0.10 이상 버전
* 네트워크 망 분리
* 주기적인 데이터 백업
* MFA 사용
* 네트워크 및 시스템 암호 정기적으로 변경 및 암호 복잡성 만족, 암호 재사용 금지
* RDP 사용하지 않으면 비활성화, RDP 로그 모니터링
* 관리 권한 사용자 계정 감사, 적절한 최소 권한으로 접근 제어 관리
* 모든 호스트에 안티 바이러스 제품 설치 & 정기적인 업데이트
5. IOC
* File Path
%temp%\execute.bat (downloader script)
C:\__output (Cring executable)
* MD5
c5d712f82d5d37bb284acd4468ab3533 (Cring executable)
317098d8e21fa4e52c1162fb24ba10ae (Cring executable)
44d5c28b36807c69104969f5fed6f63f (downloader script)
* IP addresses
129.227.156[.]216 (used by the threat actor during the attack)
129.227.156[.]214 (used by the threat actor during the attack)
198.12.112[.]204 (Cobalt Strike CnC)
45.67.231[.]128 (malware hosting)
[참고자료]
https://www.fortiguard.com/psirt/FG-IR-18-384
https://www.fortiguard.com/psirt/FG-IR-19-037
https://www.fortiguard.com/psirt/FG-IR-19-283
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35989
https://www.bleepingcomputer.com/news/security/new-cring-ransomware-hits-unpatched-fortinet-vpn-devices/
https://ics-cert.kaspersky.com/reports/2021/04/07/vulnerability-in-fortigate-vpn-servers-is-exploited-in-cring-ransomware-attacks/
https://arstechnica.com/information-technology/2021/04/ransomware-shuts-down-production-at-two-manufacturing-plants/
https://www.ic3.gov/Media/News/2021/210402.pdf
보안관제센터 Team MIR