중요한 Fortinet FortiWLM 취약점을 악용하는 해커

Fortinet은 공격자들이 적극적으로 악용하고 있는 FortiClient EMS(엔터프라이즈 관리 서버)의 심각한 취약점을 공개했습니다. CVE-2023-48788로 추적되는 이 결함은 SQL 주입을 통해 승인되지 않은 코드 실행을 허용합니다. Kaspersky의 GERT(Global Emergency Response Team)는 2024년 10월 사고 대응 활동 중에 이 취약점의 악용을 식별했습니다.

공격자는 FortiClient EMS의 취약한 버전을 실행하는 인터넷에 노출된 회사의 Windows 서버를 표적으로 삼았습니다. 회사는 FortiClient EMS를 사용하여 직원 장치에 대한 VPN 액세스 정책을 관리합니다. 공격자는 SQL 주입 결함을 악용하여 서버에서 악의적인 명령을 실행할 수 있었습니다.

공격자는 초기 액세스 권한을 얻은 후 손상된 시스템에 ScreenConnect 및 AnyDesk와 같은 원격 액세스 도구를 설치했습니다. 그런 다음 이러한 도구를 사용하여 네트워크 검색, 자격 증명 도용, 지속성 설정과 같은 추가 악성 활동을 수행했습니다. Kaspersky의 분석에 따르면 공격자는 서버에 여러 가지 악성 도구를 심었습니다.

webbrowserpassview.exe – 웹 브라우저용 비밀번호 복구 도구
netpass64.exe – 또 다른 비밀번호 덤프 유틸리티
netscan.exe – 네트워크 검색 도구

동일한 위협 행위자가 브라질, 프랑스, ​​인도, 인도네시아 등 여러 국가의 기업을 표적으로 삼은 것으로 추정됩니다.

Fortinet의 심각한 FortiClient EMS 취약점

그들은 각 피해자에 대해 서로 다른 ScreenConnect 하위 도메인을 사용했습니다. Fortinet은 이러한 공격이 발생하기 몇 달 전에 CVE-2023-48788 취약점에 대한 패치를 출시했습니다.

그러나 대상 회사는 아직 FortiClient EMS 소프트웨어를 업데이트하지 않아 노출되어 있었습니다. Kaspersky는 2024년 10월 23일에 동일한 취약점에 대한 추가 악용 시도를 감지했습니다. 이 경우 공격자는 취약한 대상을 식별하기 위해 악성 PowerShell 스크립트를 실행하려고 시도했습니다.

FortiClient EMS를 사용하는 조직은 가능한 한 빨리 최신 패치 버전으로 업데이트하는 것이 좋습니다. 또한 시스템에서 손상 징후와 무단 원격 액세스 도구를 모니터링해야 합니다. 이번 사건은 알려진 취약점, 특히 인터넷 연결 시스템의 취약점을 즉시 패치하는 것의 중요성을 강조합니다.

공격자는 CVE-2023-48788과 같은 결함을 신속하게 무기화하여 악의적인 목적으로 네트워크를 침해합니다.