포티넷 방화벽 취약점 악용 랜섬웨어 유포 사례 분석

포티넷 방화벽 취약점 파고들어 랜섬웨어 유포 시도 - 아이티데일리

포티넷 방화벽 취약점 파고들어 랜섬웨어 유포 시도 - 아이티데일리

 

• 공격 개요
  • 포어스카우트(Forescout)는 포티넷(Fortinet) 방화벽 제품의 보안 취약점을 악용한 해킹 조직 ‘모라_001(Mora_001)’의 침입 시도를 탐지
  • 공격자는 CVE-2024-55591, CVE-2025-24472를 활용해 Super Admin 권한을 탈취하고 랜섬웨어 ‘슈퍼블랙(SuperBlack)’을 배포
  • 초기 침입 이후 로컬 관리자 계정 생성 → 방화벽 설정파일 탈취 → 측면 이동(Lateral Movement) → 고가치 시스템 암호화 단계로 진행
• 악용된 취약점 상세
  • CVE-2024-55591, CVE-2025-24472는 인증 우회 취약점으로, 포티OS(FortiOS)와 포티프록시(FortiProxy)에 영향
    • 인증 없이 관리자 권한 획득 가능
    • 공격자는 WebSocket 기반 jsconsole 또는 HTTPS 요청을 통해 관리자 인터페이스에 접근
  • 패치 공개 4일 만에 악용 사례 발생, PoC 공개 이후 빠르게 무기화됨
• 공격 기법 및 동향
  • 공격자는 무작위 사용자명으로 접근 성공 여부 테스트 후, 로컬 계정 생성 반복
    • 감염 계정 식별을 어렵게 하여 탐지 및 대응 지연 유도
  • 방화벽 구성 파일을 탈취하여 VPN 계정 및 경로 정보를 수집
    • 외부에서 재접속 가능하도록 백도어화
  • LockBit 빌더 활용해 암호화 도구 자체 제작, 변종 ‘SuperBlack’ 랜섬웨어로 명명됨
    • 러시아어 흔적과 TTP 분석 결과로 러시아 연계 가능성 제기
    • 주요 공격 대상: 파일 서버, 인증 서버, 데이터베이스 등 민감 시스템
• 보안 권고
  • 즉시 보안 패치 적용: Fortinet은 CVE-2024-55591에 대해 1월에, CVE-2025-24472는 2월에 보안 공지 발표
  • 방화벽 관리 인터페이스 비공개화 및 접근 제어 강화: VPN 및 관리자 포트에 대한 IP 기반 접근 제한 설정 필요
  • 네트워크 세분화 및 보안 계층화(Defense in Depth) 전략 도입 필요
    • 침입 후 측면 이동을 제한하기 위한 내부 방화벽 및 사용자 권한 최소화
  • 로컬 관리자 계정 생성 탐지를 위한 SIEM 및 EDR 연계 모니터링 강화
  • 정기적인 구성 백업 및 무결성 검증: 설정 파일 무단 변경 여부 탐지
• 결론
  • 방화벽은 네트워크의 최전방 보안 장치로, 취약점 악용 시 전체 네트워크 장악 가능
  • 랜섬웨어 배포에 앞서 방화벽 자체를 공격 진입점으로 악용하는 위협이 증가
  • 관리자는 보안 패치 적용과 함께 구성 파일 접근 기록, 계정 생성 이력, 네트워크 접근 로그에 대한 실시간 감시 체계를 갖추어야 함