포티넷 방화벽 취약점 'CVE-2024-55591' 악용 공격 및 데이터 유출
포티넷 "해커가 방화벽 취약점 악용…데이터 유출 시도"
포티넷 "해커가 방화벽 취약점 악용…데이터 유출 시도"
해커가 포티넷 방화벽 보안 취약점을 악용해 기업 네트워크에 들어가 데이터 유출 시도를 한 정황이 드러났다. 15일 테크크런치 등 외신에 따르면 포티넷은 자사 방화벽 '포티게이트(FortiGate)'에
zdnet.co.kr
Fortinet Releases Security Updates for Multiple Products
Fortinet Releases Security Updates for Multiple Products | CISA
Fortinet released security updates to address vulnerabilities in multiple Fortinet products. A cyber threat actor could exploit some of these vulnerabilities to take control of an affected system. CISA encourages users and administrators to review the foll
www.cisa.gov
Zero-Day Vulnerability Suspected in Attacks on Fortinet Firewalls with Exposed Interfaces
A new campaign is likely targeting a zero-day in Fortinet FortiGate firewalls
A new campaign is likely targeting a zero-day in Fortinet FortiGate firewalls
Experts warn of a new campaign targeting an alleged zero-day in Fortinet FortiGate firewalls with management interfaces exposed online.
securityaffairs.com
U.S. CISA adds Fortinet FortiOS to its Known Exploited Vulnerabilities catalog
U.S. CISA adds Fortinet FortiOS flaw to its Known Exploited Vulnerabilities catalog
U.S. Cybersecurity and Infrastructure Security Agency (CISA) adds Fortinet FortiOS flaw to its Known Exploited Vulnerabilities catalog.
securityaffairs.com
Hackers Exploiting Fortinet Zero-day Vulnerability In Wild To Gain Super-Admin Privileges
Hackers Exploiting Fortinet Zero-day Vulnerability In Wild To Gain Super-Admin Privileges
A critical zero-day flaw in Fortinet's FortiOS and FortiProxy products is being actively exploited by hackers to gain super-admin privileges.
gbhackers.com
Threat actor leaked config files and VPN passwords for over Fortinet Fortigate devices
Threat actor leaked config files and VPN passwords for over Fortinet Fortigate devices
A previously unknown threat actor released config files and VPN passwords for Fortinet Fortigate devices on a popular cybercrime forum.
securityaffairs.com
- 사건 개요
- 공격 방식: 포티넷 방화벽 제품(FortiGate 및 FortiProxy)의 인증 우회 취약점(CVE-2024-55591)을 악용
- 취약점 특징
- Node.js WebSocket 모듈을 통한 인증 우회
- CVSS 점수: 9.6(치명적 수준)
- 주요 피해
- 해커가 방화벽 관리 인터페이스에 무단 접근하여 슈퍼 관리자 계정 생성 및 구성 변경
- SSL VPN 접속을 통한 네트워크 내 lateral movement(수평 이동)
- 비밀번호 및 계정 정보 탈취(DCSync 기법 활용)
- 공격 초기: 2024년 11월경 시작
- 주요 대상: 다양한 산업군 및 조직(특정 부문 한정 아님)
- 취약점 세부 내용
- 영향을 받는 제품 및 버전
- FortiOS: 7.0.0~7.0.16 (업데이트 권장: 7.0.17 이상)
- FortiProxy: 7.0.0
7.0.19, 7.2.07.2.12 (업데이트 권장: 7.0.20 이상, 7.2.13 이상)
- 해커 활동 단계
- 스캔 및 정찰: 노출된 관리 인터페이스 확인
- 구성 변경: 관리 계정 생성 및 설정 수정
- SSL VPN 활용: 새로운 VPN 사용자 그룹 생성 및 계정 추가
- DCSync 기술로 자격 증명 탈취
- 영향을 받는 제품 및 버전
- 피해 및 추가 공격 사례
- 데이터 유출
- Belsen Group이라는 새로운 해커 그룹이 15,000여 대의 FortiGate 장치에서 설정 파일 및 VPN 비밀번호를 유출
- 유출 데이터는 전 세계의 정부 및 민간 기관에 영향을 미침
- 유출된 기기 대부분이 FortiOS 7.2.2 이전 버전을 사용
- 주요 유출 국가
- 멕시코(1,603대), 미국(679대), 독일(208대) 등
- 데이터 유출
- 보안 권고
- 업데이트 및 패치
- 취약점이 해결된 최신 버전으로 즉시 업데이트
- FortiOS 7.0.17 이상 및 FortiProxy 7.0.20 이상 사용 권장
- 방화벽 설정 점검
- 관리 인터페이스의 인터넷 노출 제한
- HTTP/HTTPS 관리 인터페이스 비활성화 또는 신뢰할 수 있는 IP 주소로 접근 제한
- 네트워크 보안 강화
- 네트워크의 비정상 활동 모니터링
- SSL VPN 설정 점검 및 추가 인증(MFA) 도입
- 조직 내 보안 정책 개선
- 사용 중인 장비의 취약점 주기적 점검
- 방화벽 및 네트워크 장치에 대한 접근 제어 강화
- 업데이트 및 패치
- 시사점
- 방화벽과 같은 핵심 보안 장치의 취약점은 기업 네트워크 전체에 치명적인 영향을 미칠 수 있음
- 취약점 패치와 더불어 제로 트러스트 보안 체계를 통해 접근 제어와 모니터링을 강화해야 함
- 네트워크 관리자는 최신 보안 경고와 패치를 지속적으로 확인하고, 조치를 신속히 실행할 필요가 있음