Fortinet, 심각한 FortiWLM 결함 경고
사이버 보안 회사인 Fortinet은 Fortinet Wireless Manager(FortiWLM) 소프트웨어에 치명적인 취약점이 있음을 경고했습니다. 이 결함으로 인해 원격 공격자는 승인되지 않은 코드나 명령을 실행하여 장치를 탈취할 수 있습니다. FortiWLM은 정부 기관, 의료 기관, 교육 기관 및 대기업에서 무선 네트워크를 모니터링하고 관리하는 데 사용하는 도구입니다.
CVE-2023-34990으로 추적되는 이 취약점은 Horizon3 연구원 Zach Hanley가 2023년 5월에 발견했습니다. 이 문제는 ‘/ems/cgi-bin/ezrf_lighttpd.cgi’ 엔드포인트의 부적절한 입력 유효성 검사에서 발생합니다. 공격자는 디렉터리 탐색 기술을 사용하여 관리자 세션 ID가 포함된 민감한 로그 파일을 읽을 수 있습니다.
그런 다음 이러한 ID를 사용하여 관리 세션을 하이재킹하고 장치에 대한 액세스 권한을 얻을 수 있습니다. Hanley는 “공격자는 imagename 매개변수에 경로 탐색이 포함된 요청을 구성하여 공격자가 시스템의 모든 로그 파일을 읽을 수 있도록 할 수 있습니다.”라고 설명했습니다. “FortiWLM에는 매우 자세한 로그가 있으며 인증된 모든 사용자의 세션 ID를 기록합니다.”
이 결함은 FortiWLM 버전 8.6.0~8.6.5 및 8.5.0~8.5.4에 영향을 미칩니다. 이 문제는 2023년 9월에 출시된 버전 8.6.6 및 8.5.5에서 수정되었습니다.
그러나 당시에는 CVE ID와 보안 공지가 없었기 때문에 사용자들은 수개월 동안 위험을 인지하지 못했습니다. 중요한 환경에 배포된 경우 FortiWLM은 공격자에게 중요한 표적이 될 수 있습니다.
Fortinet은 심각한 FortiWLM 취약점을 해결합니다.
원격으로 손상되면 네트워크 전체가 중단되고 민감한 데이터가 노출될 수 있습니다. Fortinet은 FortiWLM 관리자에게 가능한 한 빨리 사용 가능한 모든 업데이트를 적용할 것을 강력히 권고합니다. 관련 사건에서 Kaspersky의 GERT(Global Emergency Response Team)는 또 다른 Fortinet 제품인 FortiClient EMS의 알려진 취약점을 악용하는 공격자를 식별했습니다.
취약점 CVE-2023-48788은 SQL 삽입 공격을 허용하며 버전 7.0.1~7.0.10 및 7.2.0~7.2.2에 영향을 미칩니다.
2024년 10월 Kaspersky는 고객의 Windows 서버에서 내부 IP 주소에서 발생하는 의심스러운 활동을 감지했습니다. 조사 결과 서버는 FortiClient EMS에 연결된 두 개의 열린 포트와 함께 노출된 것으로 나타났습니다. 공격자는 이 취약점을 이용하여 명령을 실행하고 ScreenConnect 및 AnyDesk와 같은 원격 액세스 도구를 다운로드했습니다.
또한 그들은 네트워크 열거, 자격 증명 도용, 방어 회피를 위해 다양한 도구를 사용했습니다. Kaspersky는 여러 공격자가 서로 다른 페이로드로 동일한 취약점을 악용하고 있음을 발견했습니다. 공격은 브라질, 프랑스, 인도 등 여러 국가의 기업을 표적으로 삼았습니다.
이러한 조사 결과는 취약성을 즉시 패치하고 손상 징후가 있는지 네트워크 활동을 모니터링하는 것의 중요성을 강조합니다. Fortinet과 Kaspersky는 진화하는 위협을 계속 추적하여 사용자에게 업데이트와 보호 조치를 제공합니다.
(이것은 신디케이트된 뉴스피드에서 편집되지 않은 자동 생성된 기사입니다. 파이에듀뉴스 직원이 콘텐츠 텍스트를 변경하거나 편집하지 않았을 수 있습니다.)