상세 컨텐츠

본문 제목

취약한 Fortinet VPN 5만대의 비밀번호 노출돼

국내외 보안동향

by 알약4 2020. 11. 26. 14:00

본문

Passwords exposed for almost 50,000 vulnerable Fortinet VPNs

 

한 해커가 취약한 Fortinet VPN 5만대의 자격 증명을 유출한 것으로 나타났습니다.

 

지난 주말, 한 해커가 이 기기에서 VPN 자격 증명을 훔치는데 사용할 수 있는 CVE-2018-13379 취약점의 1줄짜리 익스플로잇을 게시했습니다.

 

취약한 타깃 목록에는 전 세계의 은행, 통신사, 정부 조직이 포함되어 있었습니다.

 

유출된 파일에 계정, 비밀번호, IP주소 포함돼

 

치명적인 FortiOS 취약점 CVE-2018-13379을 악용할 경우 공격자가 Fortinet VPN에서 민감한 "sslvpn_websession" 파일에 접근하도록 허용할 수 있습니다.

 

이 파일은 세션 관련 정보가 포함되어 있으며 Fortinet VPN 사용자의 계정명과 비밀번호가 평문 상태로 공개될 수 있습니다.

 

위협 분석가인 Bank_Security는 해커 포럼에서 리스트 내 모든 IP에 대한 "sslvpn_websession" 파일을 포함한 데이터 덤프를 공개한 또 다른 스레드를 발견했습니다.

 

Bleeping Computer 측에서 살펴본 결과 이 파일은 계정명, 비밀번호, 접근 권한 레벨, VPN에 접속한 사용자의 원래 IP 주소를 가리지 않은 채 노출합니다.

 

 

<Fortinet VPN 50,000개의 자격 증명을 포함한 sslvpn_websession 파일>

<이미지 출처: https://twitter.com/Bank_Security/status/1331376128519528450>

 

 

포럼에 게시된 새 데이터 세트는 36MB RAR 압축파일이지만 압축을 해제하면 7GB로 늘어납니다.

 

이 파일 내에 자격 증명이 노출될 경우 취약한 Fortinet VPN이 패치되더라도 누구나 이를 이용해 크리덴셜 스터핑 공격을 실행하거나 VPN에 다시 접근할 수 있도록 허용할 수 있습니다.

 

 

<파키스탄의 취약한 Fortinet 기기 목록과 함께 유출된 폴더 구조>

<이미지 출처: https://www.bleepingcomputer.com/news/security/passwords-exposed-for-almost-50-000-vulnerable-fortinet-vpns/>

 

 

범죄자의 동기는 명확하지 않지만, Bleeping Computer는 최근 유출된 압축파일이 VPN 데이터 세트 49,000개 이상에서 파키스탄 기반 VPN IP "sslvpn_websession" 파일을 구분하기 위해 ‘pak’이라 표시된 목록을 포함하고 있다는 것을 발견했습니다.

 

또한 "f**k israel.jpg"라는 이미지가 포함되어 있었습니다. 이 이미지는 오바마의 2008 대선 캠페인 포스터 스타일로 만든 "Yes we can" 아돌프 히틀러 포스터였습니다.

 

더욱 우려스러운 점은 이 자격 증명이 다른 포럼 및 채팅을 통해 공유되고 있다는 것입니다.

 

Fortinet, 반복적으로 고객들에 경고해

 

Fortinet은 작년 치명적인 경로 접근 취약점(CVE-2018-13379)이 공개된 이후 사용자에게 취약한 FortiOS를 패치하도록 권장하며 계속해서 반복하여 경고했습니다.

 

이러한 조치를 취했음에도 패치가 제대로 이루어지지 않아 이 치명적인 취약점이 광범위하게 악용되었습니다. 공격자가 미국 선거 지원 시스템에 침입할 때도 동일한 취약점이 악용된 것으로 나타났습니다.

 

또한 올해 초, 정부의 지원을 받는 해커들이 네트워크를 해킹하고 랜섬웨어를 배포할 목적으로 이 취약점을 무기화해 사용했습니다.

 

지난 주, 우리는 모든 고객에게 취약점 및 완화법에 대해 또 다시 공지했습니다. 이 그룹의 공격이 해당 취약점을 악용해 실행된 것인지 확인할 수는 없지만, 고객에 업그레이드 및 완화법을 적용할 것을 권장했습니다. 더욱 많은 정보는 블로그와 20195PSIRT 권고를 참고하시기 바랍니다.”

 

따라서 네트워크 관리자 및 보안 전문가들은 이 심각한 취약점을 즉시 패치할 것을 권장합니다.

 

또한 Fortinet VPN 사용자들은 이와 동일한 자격 증명을 사용하는 다른 웹사이트의 비밀번호를 즉시 변경하기 바랍니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/passwords-exposed-for-almost-50-000-vulnerable-fortinet-vpns/

https://www.fortinet.com/blog/business-and-technology/atp-29-targets-ssl-vpn-flaws


관련글 더보기

댓글 영역