U.S. CISA adds Fortinet FortiOS/FortiProxy and GitHub Action flaws to its Known Exploited Vulnerabilities catalog
U.S. CISA adds Fortinet FortiOS/FortiProxy and GitHub Action flaws to its Known Exploited Vulnerabilities catalog.
securityaffairs.com
- CISA KEV 목록 신규 등록 내용
- 미 사이버안보 및 인프라 보안국(CISA)은 2025년 3월 19일, 공격에 악용되고 있는 심각한 취약점 2건을 Known Exploited Vulnerabilities(KEV) 목록에 추가
- CVE-2025-24472: Fortinet FortiOS/FortiProxy 인증 우회 취약점
- CVE-2025-30066: GitHub Action(tj-actions/changed-files) 공급망 공격 취약점
- 미 사이버안보 및 인프라 보안국(CISA)은 2025년 3월 19일, 공격에 악용되고 있는 심각한 취약점 2건을 Known Exploited Vulnerabilities(KEV) 목록에 추가
- CVE-2025-24472: Fortinet FortiOS/FortiProxy 인증 우회 취약점
- FortiOS(7.0.0
7.0.16), FortiProxy(7.0.07.0.19, 7.2.0~7.2.12)에 존재하는 인증 우회 취약점(CWE-288) - 공격자는 CSF 프록시 요청 또는 Node.js WebSocket 모듈을 조작해 Super Admin 권한 획득 가능
- Fortinet은 FortiOS 7.0.17 이상 및 FortiProxy 7.0.20 / 7.2.13 이상에서 수정 패치 배포
- 해당 취약점은 야생에서 적극적으로 악용 중이며, CISA는 BOD 22-01에 따라 2025년 4월 8일까지 패치 완료 지시
- FortiOS(7.0.0
- Mora_001 위협 행위자의 악용 정황
- 2025년 1~3월 사이 Forescout Vedere Labs는 SuperBlack 랜섬웨어 배포 사례에서 CVE-2025-24472 악용 확인
- Mora_001은 LockBit 빌더를 기반으로 SuperBlack 랜섬웨어를 제작, 브랜드는 제거했지만 TOX ID와 전술 유사성 존재
- 공격 특징
- 감염 후 48시간 이내 랜섬웨어 배포
- 피해자 간 사용자명, IP 재사용
- 내부 시스템 장악 후 방화벽 정책 수정 및 SSL VPN 접근
- CVE-2025-30066: GitHub Action(tj-actions/changed-files) 공급망 공격
- GitHub 리포지토리 2.3만개 이상에 사용 중인 tj-actions/changed-files 액션이 악성 코드로 변조됨
- 공격자는 해당 액션의 버전 태그를 역으로 조작하여 과거 릴리스를 악성 커밋으로 연결
- 해당 악성 코드는 CI/CD 워크플로우 중 CI/CD 시크릿을 GitHub Actions 로그에 출력, 로그가 공개되어 있으면 누구나 비밀 유출 가능
- 공격 분석 결과
- 악성 커밋은
renovate bot을 위장해 배포됨 - Python 기반 악성 스크립트를 실행해 Runner Worker 프로세스 메모리 분석, 시크릿 추출
- StepSecurity의 Harden-Runner가 비정상 네트워크 트래픽 탐지하여 3월 14일 사고 감지
- 3월 15일 다수 공개 리포지토리에서 시크릿이 실제 유출된 정황 발견
- 악성 커밋은
- 보안 권고
- Fortinet 사용자
- FortiOS/FortiProxy 최신 버전으로 즉시 업데이트
- 관리자 계정 접근 로그 감사 활성화, 의심 사용자 생성 여부 확인
- SSL VPN 접근 제어 정책 강화
- GitHub 사용자
- tj-actions/changed-files 사용 중단 또는 무결성 검증
- GitHub Actions 로그에서 시크릿 노출 여부 점검
- 자체 Runner 사용 시 네트워크 이상 탐지 및 로그 보안 강화
- 공공기관 및 민간 기업
- CISA KEV 목록 정기 점검 및 자사 환경 대응 여부 확인
- BOD 22-01에 따라 정해진 기한(4월 8일) 내 조치 완료
- Fortinet 사용자
- 결론
- Fortinet 및 GitHub Action 취약점은 각각 네트워크 장악 및 시크릿 유출이라는 심각한 피해로 이어질 수 있음
- 해당 취약점들은 공격자에 의해 이미 적극적으로 악용 중이며, 공급망 보안 위협 증가의 전형적 사례
- CISA 및 보안 커뮤니티 경고에 신속히 대응하고 내부 시스템 내 패치, 점검, 취약 구성 제거 등 사전 방어 체계 강화가 필수적
'Kant's IT > Vulnerability' 카테고리의 다른 글
| mySCADA myPRO 취약점 분석 및 산업제어시스템 위협 대응 방안 (0) | 2025.05.02 |
|---|---|
| Cisco Smart Licensing Utility 취약점 악용 증가 및 보안 권고 (0) | 2025.05.02 |
| 위협 행위자의 주요 무기로 부상한 VPN 취약점 악용 동향 (0) | 2025.05.02 |
| Windows File Explorer 취약점(CVE-2025-24071) 통한 NTLM 해시 탈취 및 네트워크 스푸핑 경고 (0) | 2025.05.02 |
| Synology DSM 원격 코드 실행 취약점(CVE-2024-10441) 긴급 보안 경고 (0) | 2025.05.02 |