이미 3년 전에 제로데이로 방화벽들에 침해해 정보를 빼돌린 해커가, 그 정보를 오늘 갑자기 공개하기 시작했다. 그 동안 취할 이득은 다 취하고 더 할 게 없어서 내린 결정으로 추정된다.
3줄 요약
1. 포티게이트 방화벽 사용자라면 https://pastebin.com/mffLfcLp에 접속.
2. 1만5000개 주소에서서 자기 주소 있는지 확인.
3. 크리덴셜, 인증서, 방화벽 규칙 모두 재설정 권장.
[보안뉴스 문가용 기자] 다크웹의 한 영어권 포럼에서 1만5000개 이상의 포티게이트(Fortigate) 방화벽 설정파일이 공개됐다. 그 안에는 사용자 이름, 비밀번호, 장치 관리 디지털 인증서, 방화벽 규칙들이 포함되어 있었다. 게시글을 올린 자는 벨슨그룹(Belsen_Group)이라는 이름을 쓰고 있었으며, 보안 업체 엑스비질(XVigil)이 추적에 나섰다.
[이미지 = gettyimagesbank]
벨슨그룹이 정보를 최초로 업로드한 건 2025년 1월 14일이었다고 한다. 하지만 사건 분석을 진행한 결과 벨슨그룹이 해당 정보를 대량으로 습득한 건 2022년일 가능성이 높아 보였다. “일찌감치 데이터에 접근하는 데 성공한 벨슨그룹은 그 동안 조용히 데이터를 판매하거나 추가 공격 등에 활용하고 이제는 공개하기로 결정한 듯합니다. 알맹이를 다 빼먹었다는 것이겠죠.”
3년 전 벨슨그룹이 포티게이트 방화벽 침해에 활용한 건 제로데이 취약점인 것으로 분석됐다. “포티게이트는 2022년 CVE-2022-40684라는 인증 우회 취약점이 공격자들에 의해 익스플로잇 되고 있다고 경고했었습니다. 포티게이트 7.x와 7.2.x 버전에서 발견된 취약점이었는데, 이번 사건에서 피해를 주로 입은 장비들과 겹칩니다. 벨슨그룹이 이 제로데이 취약점을 공략했을 가능성이 높다는 걸 알 수 있습니다.”
참고로 포티게이트에서는 최근에도 CVE-2024-55591이라는 제로데이 취약점이 발견됐었다. 2022년의 그것과 마찬가지로 인증 우회 공격을 성공할 수 있게 해 주는 취약점이었다. “포티게이트 제품만이 아니라 모든 방화벽이 공격자들의 주된 표적이 됩니다. 방화벽만 뚫어내면 네트워크 안쪽으로 침투해 온갖 공격을 실시할 수 있기 때문입니다. 방화벽 설정파일이 유출되면, 그것을 바탕으로 방화벽을 침해하는 게 훨씬 쉬워집니다.”
엑시비질 측에서는 이번 사태에 영향을 받은 IP 주소들을 페이스트빈에 전량 공개했다. 해당 사이트 주소는 “https://pastebin.com/mffLfcLp”이며, “각 주소의 주인들은 지난 3년 동안 공격이 진행되고 있었던 것조차 몰랐을 가능성이 높기에 누구나 자기 주소가 포함되어 있는지 확인할 필요가 있다”고 엑스비질은 강조한다. 다만 국가별로 묶었을 때 미국, 영국, 폴란드, 벨기에의 IP주소가 가장 많이(각각 20개 이상) 발견되고 있다. 그 뒤로 프랑스, 스페인, 말레이시아, 네덜란드, 태국, 사우디아라비아가 10개 이상씩을 기록하고 있다.
이번 사태와 관련이 없더라도, 방화벽을 사용하고 있다면 누구나 경각심을 새롭게 해야 할 것이라고 엑스비질은 계속해서 권장한다. 방화벽은 공격자들의 꾸준한 공격에 노출되어 있기 때문이다. “방화벽 크리덴셜을 주기적으로 바꾸고, 방화벽 규칙을 자주 재설정 하는 게 좋습니다. 필요하다면 오래된 인증서를 폐기해 새 것으로 대체하고, CVE-2022-40684 취약점 패치가 올바르게 적용되었는지도 점검하는 게 좋습니다.”
[국제부 문가용 기자(globoan@boannews.com)]
3줄 요약
1. 포티게이트 방화벽 사용자라면 https://pastebin.com/mffLfcLp에 접속.
2. 1만5000개 주소에서서 자기 주소 있는지 확인.
3. 크리덴셜, 인증서, 방화벽 규칙 모두 재설정 권장.
[보안뉴스 문가용 기자] 다크웹의 한 영어권 포럼에서 1만5000개 이상의 포티게이트(Fortigate) 방화벽 설정파일이 공개됐다. 그 안에는 사용자 이름, 비밀번호, 장치 관리 디지털 인증서, 방화벽 규칙들이 포함되어 있었다. 게시글을 올린 자는 벨슨그룹(Belsen_Group)이라는 이름을 쓰고 있었으며, 보안 업체 엑스비질(XVigil)이 추적에 나섰다.
[이미지 = gettyimagesbank]
벨슨그룹이 정보를 최초로 업로드한 건 2025년 1월 14일이었다고 한다. 하지만 사건 분석을 진행한 결과 벨슨그룹이 해당 정보를 대량으로 습득한 건 2022년일 가능성이 높아 보였다. “일찌감치 데이터에 접근하는 데 성공한 벨슨그룹은 그 동안 조용히 데이터를 판매하거나 추가 공격 등에 활용하고 이제는 공개하기로 결정한 듯합니다. 알맹이를 다 빼먹었다는 것이겠죠.”
3년 전 벨슨그룹이 포티게이트 방화벽 침해에 활용한 건 제로데이 취약점인 것으로 분석됐다. “포티게이트는 2022년 CVE-2022-40684라는 인증 우회 취약점이 공격자들에 의해 익스플로잇 되고 있다고 경고했었습니다. 포티게이트 7.x와 7.2.x 버전에서 발견된 취약점이었는데, 이번 사건에서 피해를 주로 입은 장비들과 겹칩니다. 벨슨그룹이 이 제로데이 취약점을 공략했을 가능성이 높다는 걸 알 수 있습니다.”
참고로 포티게이트에서는 최근에도 CVE-2024-55591이라는 제로데이 취약점이 발견됐었다. 2022년의 그것과 마찬가지로 인증 우회 공격을 성공할 수 있게 해 주는 취약점이었다. “포티게이트 제품만이 아니라 모든 방화벽이 공격자들의 주된 표적이 됩니다. 방화벽만 뚫어내면 네트워크 안쪽으로 침투해 온갖 공격을 실시할 수 있기 때문입니다. 방화벽 설정파일이 유출되면, 그것을 바탕으로 방화벽을 침해하는 게 훨씬 쉬워집니다.”
엑시비질 측에서는 이번 사태에 영향을 받은 IP 주소들을 페이스트빈에 전량 공개했다. 해당 사이트 주소는 “https://pastebin.com/mffLfcLp”이며, “각 주소의 주인들은 지난 3년 동안 공격이 진행되고 있었던 것조차 몰랐을 가능성이 높기에 누구나 자기 주소가 포함되어 있는지 확인할 필요가 있다”고 엑스비질은 강조한다. 다만 국가별로 묶었을 때 미국, 영국, 폴란드, 벨기에의 IP주소가 가장 많이(각각 20개 이상) 발견되고 있다. 그 뒤로 프랑스, 스페인, 말레이시아, 네덜란드, 태국, 사우디아라비아가 10개 이상씩을 기록하고 있다.
이번 사태와 관련이 없더라도, 방화벽을 사용하고 있다면 누구나 경각심을 새롭게 해야 할 것이라고 엑스비질은 계속해서 권장한다. 방화벽은 공격자들의 꾸준한 공격에 노출되어 있기 때문이다. “방화벽 크리덴셜을 주기적으로 바꾸고, 방화벽 규칙을 자주 재설정 하는 게 좋습니다. 필요하다면 오래된 인증서를 폐기해 새 것으로 대체하고, CVE-2022-40684 취약점 패치가 올바르게 적용되었는지도 점검하는 게 좋습니다.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
