[보안뉴스 김경애 기자] 50개 이상의 포티매니저(FortiManager) 어플라이언스가 다양한 산업 분야에 악용됐다. 공격자는 CVE-2024-47575/FG-IR-24-423 취약점을 이용해 임의의 코드나 명령을 실행했다.
▲공격자의 장치가 전역 객체 데이터베이스에 추가화면[이미지=맨디언트]
맨디언트(Mandiant)는 “현재 추적 중인 UNC5820 새로운 위협 그룹이 2024년 6월 27일부터 포티매니저 취약점을 악용했다”며 “UNC5820은 포티매니저에서 관리하는 포티게이트(FortiGate) 장치의 구성 데이터를 스테이징하고 유출했다”고 밝혔다.
이 데이터에는 관리되는 어플라이언스의 자세한 구성 정보와 사용자 및 FortiOS256 해시 암호가 포함되어 있다. UNC5820은 이 데이터를 사용해 포티매니저를 추가로 손상 시키고, 관리되는 포티넷 장치로 수평 이동하며, 궁극적으로 기업 환경을 공격했다.
2024년 6월 27 당일 포티매니저 장치는 기본 포트에서 IP 주소의 인바운드 연결을 수신했다. 거의 동시 파일 시스템에 /tmp/.tm이라는 Gzip 압축 아카이브에 다양한 Fortinet 구성 파일이 스테이징되는 것이 기록됐다. 이 아카이브에는 포티게이트 장치의 구성 파일이 포함된 폴더, 포티게이트 장치의 추가 정보가 포함된 데이터베이스, 포티게이트 시리얼 번호와 해당 IP 주소 목록, 객체 구성, 정책 패키지, IPS용 헤더 및 푸터 센서 구성이 포함된 전역 데이터베이스, 현재 포티매니저 버전, 빌드 및 브랜치 정보 파일과 폴더가 포함돼 있다.
맨디언트는 “2024년 9월 23일 동일한 지표를 가진 두 번째 악용 시도가 포착됐다”며 “두 악용 사례 모두 아카이브 생성 직후 아웃바운드 네트워크 트래픽이 발생했다. 각 대상 IP 주소로 전송된 바이트 수는 아카이브 크기보다 약간 크다”고 분석했다.
두 번째 악용 시도 중에는 공격자의 장치가 포티매니저에 등록되었다. 권한없는 포티매니저가 추가된 타임스탬프와 전역 객체 데이터베이스에 나열됐고, 알 수 없는 포티넷 장치가 포티매니저콘솔에 보였다.
▲포티매니저 콘솔에 나열된 권한 없는 장치[이미지=맨디언트]
또한 권한없는 장치 시리얼 번호와 해당 IP 주소가 /fds/data/unreg_devices.txt 파일에 추가됐다. 파일에는 일회용 이메일 주소와 회사 이름을 포함해 익스플로잇 추가 지표가 포함돼 있다.
맨디언트는 “승인된 내부 IP 주소에 대해서만 포티매니저 관리 포털에 대한 액세스를 제한해야 한다”며 “허용된 포티게이트 주소만 포티매니저와 통신하도록 허용해야 한다”고 밝혔다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>