Kant's IT/Vulnerability

Fortinet 제품군 보안 취약점 및 지속적 공격자 접근에 대한 긴급 권고

Kant Jo 2025. 5. 25. 09:00

Fortinet Urges FortiSwitch Upgrades to Patch Critical Admin Password Change Flaw

 

Fortinet Warns of Multiple Vulnerabilities in FortiAnalyzer, FortiManager & Others

 

Fortinet Warns of Multiple Vulnerabilities in FortiAnalyzer, FortiManager & Others

Fortinet has revealed and resolved several vulnerabilities within its range of products, such as FortiAnalyzer, FortiManager, FortiOS, FortiProxy, FortiVoice, FortiWeb, and FortiSwitch.

gbhackers.com

 

Symbolic Link trick lets attackers bypass FortiGate patches, Fortinet warns

 

Symbolic Link trick lets attackers bypass FortiGate patches, Fortinet warns

Fortinet warns attackers can keep read-only access to FortiGate devices even after the original vulnerability is patched.

securityaffairs.com

 

Fortinet Warns Attackers Retain FortiGate Access Post-Patching via SSL-VPN Symlink Exploit

 

Fortinet Releases Advisory on New Post-Exploitation Technique for Known Vulnerabilities

 

Fortinet Releases Advisory on New Post-Exploitation Technique for Known Vulnerabilities | CISA

Fortinet is aware of a threat actor creating a malicious file from previously exploited Fortinet vulnerabilities (CVE-2024-21762, CVE-2023-27997, and CVE-2022-42475) within FortiGate products. This malicious file could enable read-only access to files on t

www.cisa.gov

 

  • FortiSwitch 비인가 관리자 비밀번호 변경 취약점(CVE-2024-48887)
    • GUI 기반 비인가 원격 공격자가 관리자 비밀번호를 변경할 수 있는 CWE-620(검증되지 않은 비밀번호 변경) 취약점 발견
    • 영향받는 버전: FortiSwitch 6.4.06.4.14, 7.0.07.0.10, 7.2.07.2.8, 7.4.07.4.4, 7.6.0
    • 대응 방안: 각각 6.4.15, 7.0.11, 7.2.9, 7.4.5, 7.6.1 이상으로 업그레이드 또는 HTTP/HTTPS 관리 인터페이스 차단
  • FortiGate의 SSL-VPN 심볼릭 링크 백도어 기법
    • 공격자가 CVE-2022-42475, CVE-2023-27997, CVE-2024-21762 등의 취약점을 이용해 사용자 파일 시스템에서 루트 파일 시스템과 연결되는 악성 심볼릭 링크를 생성
    • 해당 링크는 패치 후에도 제거되지 않아 읽기 전용 권한의 지속적 접근을 유지
    • SSL-VPN이 활성화된 장비만 영향받으며, 사용자 설정 파일과 구성 정보 접근 가능
    • Fortinet의 AV/IPS 시그니처 및 FortiOS 최신 릴리즈에서 자동 제거 및 탐지 기능 추가
    • 업데이트 권장 버전: FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17, 6.4.16
  • FortiAnalyzer 및 FortiManager 로그 위변조 취약점(CWE-117)
    • 원격 비인증 사용자가 조작된 로그인 요청으로 로그 손상 가능
    • 영향받는 버전: 7.6.0~7.6.1, 7.4.x, 7.2.x
    • 대응 방안: 7.6.2 이상으로 업그레이드 필요
  • FortiOS의 LDAP 자격 증명 노출 취약점(CWE-522)
    • 인증된 공격자가 LDAP 서버 IP를 악성 서버로 변경해 자격 증명 탈취 가능
    • 영향받는 버전: FortiOS 6.4, 7.0, 7.2, 7.4 전 버전 (단, 7.6은 영향 없음)
    • 조치: 안전한 릴리즈로 전환 및 자격 증명 재설정 권고
  • FortiOS 및 FortiManager 등 제품군의 중간자(MITM) 취약점(CWE-923)
    • 관리 장비 간 인증 요청을 탈취해 위장 장비로 통신을 가로채는 위협 존재
    • 대응 방안: 최신 릴리즈로 업그레이드 및 장비 간 인증 체계 강화
  • 보안 권고
    • Fortinet 장비 전체 구성은 잠재적으로 손상된 것으로 간주하고 점검 필요
    • SSL-VPN 기능을 사용하지 않는 경우에도 구성 검토 및 보안 점검 필요
    • 자동 패치, 서브초 페일오버, 구성 자동 복원 기능 등 최신 보안 기능 활용 권장
    • 모든 취약점은 포티넷 PSIRT 및 국제 보안 연구자들의 책임 있는 공개 협력을 통해 대응됨
  • 결론
    • Fortinet 장비는 다양한 고위험 취약점과 지속 접근 기술의 대상이 되고 있으며, 패치 이후에도 잔존 위협이 존재
    • 보안 관리자는 취약점별 패치 이력 및 구체적 침해 흔적(Indicators of Compromise)을 주기적으로 점검해야 함
    • SSL-VPN과 같이 장기간 노출되는 기능은 기본적으로 취약성이 내재된 구조이므로 비활성화 또는 격리 운영이 필요함
저작자표시 비영리 변경금지 (새창열림)