2023년 9월 7일 CISA, FBI, 미국 사이버사령부(USCYBERCOM)가 공동 발표한 보고서에 따르면, 국가의 후원을 받는 해킹 그룹들이 최근 Zoho와 Fortinet 소프트웨어의 중요한 취약점을 이용하여 미국 항공 기관에 침투했다고 한다. 해커들은 노출된 Zoho 어플리케이션 취약점(CVE-2022-47966)과 포티넷 취약점(CVE-2022-42475)을 악용하여 조직의 네트워크에 무단으로 접근했다. 공격자는 명확히 확인되지 않았으나, 미국 사이버사령부(USCYBERCOM)는 이 공격이 이란의 해커 그룹과 연관성이 있을 수 있다고 전했다.
패치되지 않은 포티넷 취약점 CVE-2022-42475 악용
해킹 그룹들은 대부분 인터넷에 노출된 장치들 중 패치되지 않은 취약점을 보유한 장치를 공격 대상으로 삼는다. 이번 공격에 악용된 취약점 중 CVE-2022-42475은 Fortinet SSL-VPN의 여러 버전에 영향을 미치는 힙 기반 버퍼 오버플로 취약점으로, 원격으로 임의 코드나 명령을 실행할 수 있는 심각한 취약점이다. 이 취약점을 악용하면 기업 및 기관의 네트워크 내부로 침입한 후, 해킹된 네트워크 인프라 구성 요소를 통해 더 많은 내부 시스템에 침투할 수 있다.
Fortinet은 이 취약점이 발견된 직후 보안 권고 및 보안 패치 버전에 대해 공식 발표를 했다. 하지만, 패치가 발표된 지 약 9개월이 지난 현재까지도 패치되지 않은 장치가 매우 많으며, 해커는 계속해서 이 취약점을 악용하고 있다.
CVE-2022-42475에 영향을 받는 수천 개의 포티넷 SSL-VPN
다음은 Criminal IP Asset Search에 취약점 필터를 사용해 CVE-2022-42475 에 연관된 포티넷 SSL-VPN을 검색한 결과다. 외부에 노출된 Fortinet SSL-VPN 장치 중 해당 취약점을 보유한 장치가 약 3천 개 발견되었다.
Search Query: cve_id: CVE-2022-42475
또한, CVE-2022-42475에 취약한 포티넷 SSL-VPN을 사용하고 있는 국가는 총 124개 국가로 확인되었다. 그 중 미국이 466개로 가장 많이 나타났으며, 인도가 232개, 대만이 166개로 그 뒤를 이었다.
패치되지 않은 취약점에 대한 권고 사항
CISA가 권고하는 CVE-2022-47966 및 CVE-2022-42475에 대한 보안 점검 사항은 아래와 같다. 자세한 권고 지침은 CISA의 보고서에서 확인할 수 있다.
- 취약점 및 구성 관리
- 세그먼트 네트워크(네트워크 세분화)
- 계정, 권한, 워크스테이션 관리
- 원격 액세스 소프트웨어 안정성 확보
- 기타 완화 권장 사항 모범 사례 참고
관련하여 포티넷 방화벽 취약점의 패치 지연 이슈에 대한 글을 참고할 수 있다.
이 리포트는 사이버위협인텔리전스 검색엔진 Criminal IP의 데이터를 바탕으로 작성되었습니다.
지금 바로 Criminal IP 무료 계정을 생성하면 리포트에 인용된 검색 결과를 직접 확인하거나 더 방대한 위협 인텔리전스를 자유롭게 검색할 수 있습니다.
데이터 출처: Criminal IP(https://www.criminalip.io/ko)
관련 글:
댓글 남기기