지난 2023년 6월 12일 발표된 포티게이트(FortiGate) 방화벽 원격 코드 실행(RCE) 취약점 CVE-2023-27997 의 패치 지연이 심각한 상태다. CVE-2023-27997은 힙 기반 버퍼 오버플로우 취약점으로 SSL-VPN이 활성화된 장치에 영향을 미친다. 이는 웹에 노출된 SSL-VPN 인터페이스를 통해 원격으로 코드를 실행할 수 있는 원격 코드 실행(RCE) 취약점이며, CVE 등급 10점 만점에 9.8점으로 심각도 지수가 매우 높다.

사이버 보안 언론 매체 BleepingComputer의 기사에 따르면, 지난 7월 3일 패치되지 않은 채로 취약점에 노출된 포티넷 방화벽 30만 개 이상이 발견되었다고 한다. 취약점이 공개됨과 동시에 보안 패치가 업데이트 되었음에도 불구하고 사용자들의 패치가 지연되고 있다는 것이다.

그렇다면 한 달이 더 지난 지금은 어떨까? 이번 글에서는 패치 발표 이후 거의 두 달이 되어가는 지금 얼마나 많은 포티넷 방화벽이 취약한 상태로 위협에 노출되어 있는지 알아보고자 한다.

인터넷에 노출된 포티게이트 SSL VPN 인터페이스 찾기

기사를 통해 이미 알려진 CVE-2023-27997에 취약한 장치를 찾는 방법을 참고하여 Criminal IP Asset Search에 다음과 같은 쿼리를 검색해 보았다.
다음 쿼리는 인터넷에 노출되어있는 취약한 포티게이트 SSL VPN 인터페이스를 찾는 Criminal IP 쿼리이다.

Search query: “xxxxxxxx-xxxxx” “top.location=/remote/login”

*이 쿼리에 사용된 “” 연산자는 검색한 쿼리가 배너 스크립트에 정확하게 일치하는 서버를 찾을 수 있는 연산자이다.

Criminal IP Asset Search에 "xxxxxxxx-xxxxx" "top.location=/remote/login" 쿼리로 검색한 결과
Criminal IP Asset Search에 “xxxxxxxx-xxxxx” “top.location=/remote/login” 쿼리로 검색한 결과

놀랍게도 인터넷에서 접속 가능한 상태인 포티게이트 SSL VPN 인터페이스가 476,326건 검색되었다.
이 중 일부는 패치 이후 설치된 서버로, 모든 서버가 CVE-2023-27997 원격 코드 실행 취약점에 노출된 상태는 아니다.하지만, 여전히 많은 수의 포티게이트가 패치가 지연되며 취약한 상태라는 것은 알 수 있다.

CVE-2023-27997 원격 코드 실행 공격이 가능한 포티게이트

47만 개 이상의 외부에 노출되어있는 포티게이트 SSL-VPN 인터페이스 중에 실제로 CVE-2023-27997 취약점 익스플로잇이 가능한 장치를 검색해보았다.
Criminal IP Asset Search의 “cve_id” 필터를 사용하여 검색할 수 있다.

Search query: cve_id: CVE-2023-27997

* 이 쿼리에 사용된 cve_id 필터는 검색한 CVE 취약점을 보유한 IP 주소를 찾을 수 있는 필터이다.

Criminal IP Asset Search에 cve_id: CVE-2023-27997 쿼리로 검색한 결과
Criminal IP Asset Search에 cve_id: CVE-2023-27997 쿼리로 검색한 결과

CVE-2023-27997 취약점에 매핑되어 있는 서버는 총 4,677건으로, 이 IP 주소에서 가동되는 포티게이트는 알려진 익스플로잇으로 실제 공격이 가능하다.
심지어 이러한 IP 주소의 배너 정보에는 포티넷 버전과 시리얼 넘버가 그대로 노출되어 있는데, 이는 공개된 자체 만으로도 다른 익스플로잇 공격이 가능할 수 있는 매우 위험한 상태이다.

Criminal IP에서 검색된 CVE-2023-27997 취약점에 노출된 장치의 배너 정보, 포티넷 시리얼 넘버와 버전이 노출되어있다
Criminal IP에서 검색된 CVE-2023-27997 취약점에 노출된 장치의 배너 정보, 포티넷 시리얼 넘버와 버전이 노출되어있다

물론 이 4,677건의 취약한 포티게이트 장치 외에도 더 많은 장치가 취약한 상태일 수 있다. 
특히 이번 포티게이트 원격 코드 실행 취약점은 공격을 통해 취약한 장치 외에도 내부의 다른 서버까지 공격 받을 수 있기 때문에 빠른 보안 패치가 시급하다.

포티게이트 원격 코드 실행 취약점에 노출된 장치 국가 통계

CVE-2023-27997 포티게이트 원격 코드 실행 취약점에 노출될 수 있는 서버들의 국가 통계를 확인해 보았다.
총 151개 국가가 취약점에 노출된 포티넷 장치를 보유하고 있다. 1위는 미국으로, 590건으로 이는 전체 중 약 12.6%에 해당한다. 아랍에미리트, 인도, 대만 등의 국가가 200건 이상 발견되었다.

CVE-2023-27997 취약점에 영향을 받는 포티게이트를 보유한 국가 통계
CVE-2023-27997 취약점에 영향을 받는 포티게이트를 보유한 국가 통계\

포티게이트 원격 코드 실행 취약점 패치 권고

포티넷이 취약점과 패치를 공개한 지 약 3개월이 지나가는 시점에도 아직 많은 수의 장치가 취약한 상태인 것은 패치 지연이 그만큼 심각한 수준이라는 것이다.
취약점이 발표되면 그 당시에는 이슈가 되지만, 시간이 지날수록 다른 이슈에 의해 묻힌다.
하지만 간과하면 안되는 중요한 사항은 공격자는 몇 개월, 몇 년이 지난 취약점에서 공격 기회를 찾는다는 점이다. 관심이 줄어든 만큼 관리가 허술해지기 때문이다.

포티넷은 CVE-2023-27997 원격 코드 실행 취약점에 대해 다음과 같은 권고를 발표했다.

SSL-VPN을 비활성화 하거나 아래 지침에 따라 업그레이드를 수행합니다.

FortiOS-6K7K 버전 7.0.12 이상으로 업그레이드
FortiOS-6K7K 버전 6.4.13 이상으로 업그레이드
FortiOS-6K7K 버전 6.2.15 이상으로 업그레이드
FortiOS-6K7K 버전 6.0.17 이상으로 업그레이드
FortiProxy 버전 7.2.4 이상으로 업그레이드
FortiProxy 버전 7.0.10 이상으로 업그레이드
FortiProxy 버전 2.0.13 이상으로 업그레이드
FortiOS 버전 7.4.0 이상으로 업그레이드
FortiOS 버전 7.2.5 이상으로 업그레이드
FortiOS 버전 7.0.12 이상으로 업그레이드
FortiOS 버전 6.4.13 이상으로 업그레이드
FortiOS 버전 6.2.14 이상으로 업그레이드
FortiOS 버전 6.0.17 이상으로 업그레이드

자세한 권고 사항은 포티넷의 PSIRT 블로그에 작성되어있다. 보안 권고를 모니터링하고 시스템을 즉시 패치하는 것 외에도 Fortinet은 다음을 강력히 권장한다.

  • FG-IR-22-377 / CVE-2022-40684 와 같은 이전 취약점을 악용한 증거가 있는지 시스템을 검토하십시오. 
  • 좋은 사이버 위생 수준을 유지하고 벤더 패치 권장 사항을 따르십시오.
  • 강화 권장 사항을 따릅니다(예: FortiOS 7.2.0 강화 가이드).
  • 사용하지 않는 기능을 비활성화하고 가능하면 대역 외 방법을 통해 장치를 관리하여 공격 표면을 최소화합니다.

관련하여 포티넷 인증 우회 취약점 CVE-2022-40684을 다룬 글을 참고할 수 있다.

이 리포트는 사이버위협인텔리전스 검색엔진 Criminal IP의 데이터를 바탕으로 작성되었습니다.
지금 바로 Criminal IP 무료 계정을 생성하면 리포트에 인용된 검색 결과를 직접 확인하거나 더 방대한 위협 인텔리전스를 자유롭게 검색할 수 있습니다.

데이터 출처: Criminal IP(https://www.criminalip.io/ko)

관련 글: 

CVE-2022-40684: 즉시 점검해야 하는 Fortinet 인증우회 취약점