상세 컨텐츠

본문 제목

취약한 Fortinet VPN 5만대의 비밀번호 노출돼

국내외 보안동향

by 알약4 2020. 11. 26. 14:00

본문

Passwords exposed for almost 50,000 vulnerable Fortinet VPNs

 

한 해커가 취약한 Fortinet VPN 5만대의 자격 증명을 유출한 것으로 나타났습니다.

 

지난 주말, 한 해커가 이 기기에서 VPN 자격 증명을 훔치는데 사용할 수 있는 CVE-2018-13379 취약점의 1줄짜리 익스플로잇을 게시했습니다.

 

취약한 타깃 목록에는 전 세계의 은행, 통신사, 정부 조직이 포함되어 있었습니다.

 

유출된 파일에 계정, 비밀번호, IP주소 포함돼

 

치명적인 FortiOS 취약점 CVE-2018-13379을 악용할 경우 공격자가 Fortinet VPN에서 민감한 "sslvpn_websession" 파일에 접근하도록 허용할 수 있습니다.

 

이 파일은 세션 관련 정보가 포함되어 있으며 Fortinet VPN 사용자의 계정명과 비밀번호가 평문 상태로 공개될 수 있습니다.

 

위협 분석가인 Bank_Security는 해커 포럼에서 리스트 내 모든 IP에 대한 "sslvpn_websession" 파일을 포함한 데이터 덤프를 공개한 또 다른 스레드를 발견했습니다.

 

Bleeping Computer 측에서 살펴본 결과 이 파일은 계정명, 비밀번호, 접근 권한 레벨, VPN에 접속한 사용자의 원래 IP 주소를 가리지 않은 채 노출합니다.

 

 

<Fortinet VPN 50,000개의 자격 증명을 포함한 sslvpn_websession 파일>

<이미지 출처: https://twitter.com/Bank_Security/status/1331376128519528450>

 

 

포럼에 게시된 새 데이터 세트는 36MB RAR 압축파일이지만 압축을 해제하면 7GB로 늘어납니다.

 

이 파일 내에 자격 증명이 노출될 경우 취약한 Fortinet VPN이 패치되더라도 누구나 이를 이용해 크리덴셜 스터핑 공격을 실행하거나 VPN에 다시 접근할 수 있도록 허용할 수 있습니다.

 

 

<파키스탄의 취약한 Fortinet 기기 목록과 함께 유출된 폴더 구조>

<이미지 출처: https://www.bleepingcomputer.com/news/security/passwords-exposed-for-almost-50-000-vulnerable-fortinet-vpns/>

 

 

범죄자의 동기는 명확하지 않지만, Bleeping Computer는 최근 유출된 압축파일이 VPN 데이터 세트 49,000개 이상에서 파키스탄 기반 VPN IP "sslvpn_websession" 파일을 구분하기 위해 ‘pak’이라 표시된 목록을 포함하고 있다는 것을 발견했습니다.

 

또한 "f**k israel.jpg"라는 이미지가 포함되어 있었습니다. 이 이미지는 오바마의 2008 대선 캠페인 포스터 스타일로 만든 "Yes we can" 아돌프 히틀러 포스터였습니다.

 

더욱 우려스러운 점은 이 자격 증명이 다른 포럼 및 채팅을 통해 공유되고 있다는 것입니다.

 

Fortinet, 반복적으로 고객들에 경고해

 

Fortinet은 작년 치명적인 경로 접근 취약점(CVE-2018-13379)이 공개된 이후 사용자에게 취약한 FortiOS를 패치하도록 권장하며 계속해서 반복하여 경고했습니다.

 

이러한 조치를 취했음에도 패치가 제대로 이루어지지 않아 이 치명적인 취약점이 광범위하게 악용되었습니다. 공격자가 미국 선거 지원 시스템에 침입할 때도 동일한 취약점이 악용된 것으로 나타났습니다.

 

또한 올해 초, 정부의 지원을 받는 해커들이 네트워크를 해킹하고 랜섬웨어를 배포할 목적으로 이 취약점을 무기화해 사용했습니다.

 

지난 주, 우리는 모든 고객에게 취약점 및 완화법에 대해 또 다시 공지했습니다. 이 그룹의 공격이 해당 취약점을 악용해 실행된 것인지 확인할 수는 없지만, 고객에 업그레이드 및 완화법을 적용할 것을 권장했습니다. 더욱 많은 정보는 블로그와 20195PSIRT 권고를 참고하시기 바랍니다.”

 

따라서 네트워크 관리자 및 보안 전문가들은 이 심각한 취약점을 즉시 패치할 것을 권장합니다.

 

또한 Fortinet VPN 사용자들은 이와 동일한 자격 증명을 사용하는 다른 웹사이트의 비밀번호를 즉시 변경하기 바랍니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/passwords-exposed-for-almost-50-000-vulnerable-fortinet-vpns/

https://www.fortinet.com/blog/business-and-technology/atp-29-targets-ssl-vpn-flaws


저작자표시

'국내외 보안동향' 카테고리의 다른 글

Sophos, 잘못된 데이터베이스 구성으로 데이터 유출 발생해  (0) 2020.11.27
cPanel 이중 인증, 브루트포싱 공격에 단 몇 분 만에 우회돼  (0) 2020.11.27
MobileIron MDM 취약점, 실제 공격에 활발히 악용돼  (0) 2020.11.26
Baidu 안드로이드 앱, 사용자 정보 무단 수집해 플레이스토어에서 삭제돼  (0) 2020.11.25
유료서비스에 은밀히 가입하는 WAPDropper 악성코드 발견  (0) 2020.11.25

관련글 더보기

댓글 영역

티스토리툴바