Fortinet은 해커가 VPN 고객을 감염시키기 위해 치명적인 취약점을 악용했다고 밝혔습니다.

-


FortiGate 하드웨어와 비슷하게 만든 케이크입니다.

포티넷

알려지지 않은 위협 행위자가 포티넷의 FortiOS SSL-VPN의 중요한 취약점을 악용하여 정부 및 정부 관련 조직을 고급 맞춤형 악성코드로 감염시켰다고 회사가 수요일 부검 보고서에서 밝혔습니다.

CVE-2022-42475로 등록된 이 취약점은 해커가 원격으로 악성 코드를 실행할 수 있는 힙 기반 버퍼 오버플로우입니다. 심각도는 10점 만점에 9.8점입니다. 네트워크 보안 소프트웨어 제조업체인 Fortinet이 버전의 취약점을 수정했습니다. 7.2.3 11월 28일에 출시되었지만 당시 게시한 릴리스 노트에는 위협에 대한 언급이 없었습니다.

단어를 중얼이다

Fortinet은 12월 12일까지 취약점을 공개하지 않았습니다. 경고 취약점이 고객 중 적어도 한 명에 대해 적극적으로 악용되고 있다는 것입니다. 이 회사는 고객에게 소프트웨어의 패치 버전을 실행하고 있는지 확인하고 네트워크에서 취약점이 악용된 징후가 있는지 네트워크를 검색할 것을 촉구했습니다. FortiOS SSL-VPN은 공용 인터넷에서 민감한 내부 네트워크를 차단하는 경계 방화벽에서 주로 사용됩니다.

수요일에 Fortinet은 익스플로잇 활동과 배후의 위협 행위자에 대한 보다 자세한 설명을 제공했습니다. 하지만 해당 게시글은 11월 수정 당시 취약점을 공개하지 않은 이유에 대해 설명하지 않았다. 회사 대변인은 실패 또는 취약점 공개에 대한 회사의 정책에 대해 이메일로 보낸 질문에 답변을 거부했습니다.

Fortinet 관계자는 수요일 업데이트에서 “이 익스플로잇의 복잡성은 고급 행위자가 있으며 정부 또는 정부 관련 대상을 표적으로 삼고 있음을 시사합니다.”라고 밝혔습니다. 그들은 계속했다:

  • 익스플로잇에는 FortiOS 및 기본 하드웨어에 대한 깊은 이해가 필요합니다.
  • 맞춤형 임플란트의 사용은 공격자가 FortiOS의 다양한 부분을 리버스 엔지니어링하는 등 고급 기능을 가지고 있음을 보여줍니다.
  • 행위자는 선호하는 정부 또는 정부 관련 목표에 대한 힌트와 함께 고도로 표적화됩니다.
  • 공격자가 발견한 Windows 샘플은 호주, 중국, 러시아, 싱가포르 및 기타 동아시아 국가를 포함하는 UTC+8 시간대의 컴퓨터에서 컴파일된 아티팩트를 표시했습니다.
  • 공격자가 생성한 자체 서명 인증서는 모두 UTC 오전 3시에서 8시 사이에 생성되었습니다. 그러나 해커가 근무 시간 중에 반드시 활동하는 것은 아니며 일반 네트워크 트래픽으로 자신의 활동을 난독화하기 위해 피해자 근무 시간 중에 활동하는 경우가 많기 때문에 이로부터 어떤 결론을 도출하기는 어렵습니다.

Fortinet이 감염된 서버 중 하나에서 수행한 분석에 따르면 위협 ​​행위자는 취약점을 사용하여 FortiOS에서 실행되도록 사용자 정의된 알려진 Linux 기반 임플란트의 변종을 설치했습니다. 탐지되지 않기 위해 악용 후 멀웨어는 일단 설치되면 특정 로깅 이벤트를 비활성화합니다. 임플란트는 /data/lib/libips.bak 경로에 설치되었습니다. 이 파일은 /data/lib/libips.so에 있는 Fortinet IPS 엔진의 일부로 가장할 수 있습니다. /data/lib/libips.so 파일도 있었지만 파일 크기가 0이었습니다.

임플란트의 실행을 에뮬레이션한 후 Fortinet 연구원들은 명령 및 제어 서버와의 통신에서 침입 방지 시스템의 서명에 사용할 수 있는 고유한 바이트 문자열을 발견했습니다. 버퍼 “\x00\x0C\x08http/1.1\x02h2\x00\x00\x00\x14\x00\x12\x00\x00\x0Fwww.example.com”(이스케이프 처리되지 않음)은 “Client Hello” 패킷 내부에 나타납니다.

서버가 표적이 된 다른 징후에는 103을 포함한 다양한 IP 주소에 대한 연결이 포함됩니다.[.]131[.]189[.]143 및 다음 TCP 세션:

  • 포트 443에서 FortiGate에 연결
  • /remote/login/lang=en에 대한 요청 받기
  • 원격/오류에 대한 요청 게시
  • 페이로드에 대한 요청 가져오기
  • FortiGate에서 명령을 실행하기 위한 연결
  • 대화식 쉘 세션.

부검에는 다양한 다른 손상 지표가 포함됩니다. FortiOS SSL-VPN을 사용하는 조직은 이를 주의 깊게 읽고 대상이 되었거나 감염된 징후가 있는지 네트워크를 검사해야 합니다.

앞서 언급한 바와 같이, 부검 결과 Fortinet이 CVE-2022-42475가 적극적으로 악용될 때까지 공개하지 않은 이유를 설명하지 못했습니다. 취약점의 심각도를 고려할 때 실패는 특히 심각합니다. 공개는 사용자가 패치 설치의 우선 순위를 정하는 데 도움이 되기 때문에 매우 중요합니다. 새 버전이 사소한 버그를 수정하면 많은 조직에서 설치를 기다리는 경우가 많습니다. 9.8 심각도 등급의 취약성을 수정하면 업데이트 프로세스를 훨씬 더 신속하게 처리할 가능성이 높아집니다.

공개 부족에 대한 질문에 답하는 대신 Fortinet 관계자는 다음과 같은 진술을 제공했습니다.

우리는 고객의 보안을 약속합니다. 2022년 12월 Fortinet은 완화 지침을 자세히 설명하고 CVE-2022-42475와 관련된 다음 단계를 권장하는 PSIRT 권고(FG-IR-22-398)를 배포했습니다. 우리는 PSIRT Advisory 프로세스를 통해 고객에게 통지하고 제공된 지침을 따르도록 조언했으며 고객 보안에 대한 지속적인 약속의 일환으로 상황을 계속 모니터링합니다. 오늘 우리는 CVE-2022-42475에 대한 추가 확장 연구를 공유했습니다. 자세한 내용은 다음을 참조하십시오. 블로그.

회사는 공격에 사용된 추가 악성 페이로드를 검색할 수 없다고 말했습니다.

관련 기사