포티넷 ‘FortiSIEM’ 관리자 소프트웨어에서 ‘원격 명령 취약점’ 발견... 신속한 보안 패치 필요

2024-05-22 22:32
  • 카카오톡
  • 네이버 블로그
  • url
인증되지 않은 원격 OS Command Injection 취약점, CVSS 9.8점에 달해
공격자가 임의대로 API 조작, 원격으로 시스템에 불법 명령 실행...시스템 장악 가능성 있어


[보안뉴스 박은주 기자] 글로벌 보안기업 포티넷의 보안 정보 및 이벤트 관리 솔루션 ‘포티SIEM(FortiSIEM)’의 관리자 소프트웨어에서 인증되지 않은 원격 OS Command 인젝션 취약점 3건 발견됐다. 3가지 취약점 모두 CVSS 9.8점으로 만점에 가까운 치명도를 보여 신속한 시스템 점검 및 보안 업데이트가 요구된다.


▲FortiSIEM 구동 화면[이미지=포티넷]

발견된 취약점은 다음과 같다.
△CVE-2024-34992
△CVE-2024-23108
△CVE-2024-23109

엔키화이트햇 모의해킹팀 정시헌 팀장은 “이 취약점은 외부 공격자가 서버에 원하는 명령어를 실행할 수 있는 취약점”이라며 “원격지에서 실행할 수 있는 가장 위험한 취약점”이라고 설명했다.

공격자가 임의대로 API를 조작해 원격으로 시스템에 불법적인 명령을 실행할 수 있고, 로그인하지 않은 상태에서도 명령을 실행할 수 있어 시스템에 심각한 보안 문제를 초래할 수 있다. 시스템을 제어할 수 있는 관리자 소프트웨어에서 취약점이 발견된 만큼 최악의 경우 시스템 장악까지 이어질 수 있어 각별한 주의가 필요하다.

다만 정 팀장은 “관리자 소프트웨어이기 때문에 어디에서나 접근할 수는 없을 것”이라고 덧붙였다.


▲포티SIEM 취약점에 영향받는 제품 및 해결버전[자료=KISA]

해당 취약점은 보안업체 호라이즌3(Horizon3.ai)의 보안 연구원에 의해 발견됐다. 포티넷은 취약점이 해결된 버전을 발표하고, 신속한 보안 업데이트를 권장했다. 해당 취약점에 영향받는 제품과 해결 버전은 위 표와 같다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 아마노코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다봄씨엔에스

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지
      줌카메라

    • 지인테크

    • 지오멕스소프트

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 엔토스정보통신

    • 비전정보통신

    • 경인씨엔에스

    • (주)우경정보기술

    • 투윈스컴

    • 디비시스

    • 다후아테크놀로지코리아

    • 트루엔

    • 동양유니텍

    • 세연테크

    • 위트콘

    • 이오씨

    • 유에치디프로

    • 구네보코리아주식회사

    • 주식회사 에스카

    • 포엠아이텍

    • 티에스아이솔루션

    • 넥스트림

    • 안랩

    • 데이티스바넷

    • 시큐어링크

    • 지란지교데이터

    • 삼오씨엔에스

    • 위즈코리아

    • 피앤피시큐어

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 앤디코

    • 케이제이테크

    • 알에프코리아

    • 사라다

    • 아이엔아이

    • (주)일산정밀

    • 새눈

    • 유투에스알

    • 이스트컨트롤

    • 태정이엔지

    • 네티마시스템

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 미래시그널

    • 두레옵트로닉스

    • 엘림광통신

    • 에스에스티랩

    • 에이앤티글로벌

    • 포커스에이치앤에스

    • 보문테크닉스

    • 휴젠

    • 메트로게이트
      시큐리티 게이트

    • 글로넥스

    • 신화시스템

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기