포티넷이 포티OS(FortiOS)의 보안 취약점을 악용한 사이버 공격이 성행하고 있다며 주의를 권고헀다.
포티넷 연구팀에 따르면, 포티OS의 취약점(CVE-2022-41328)은 공격자가 조작된 CLI 명령을 통해 중요 파일에 임의로 접근할 수 있게 만든다. 취약점의 원인은 포티OS의 제한된 디렉토리의 경로 이름 관련 문제 때문인 것으로 파악됐다.
이번 취약점은 포티게이트가 다운된 후 재부팅이 되지 않는 원인을 분석하는 과정에서 처음 발견됐다. 분석 과정에서 발생하는 오류 메시지는 펌웨어 무결성 자가 테스트 실패로 인해 시스템이 오류 모드로 전환됐음을 나타낸다.
포티넷 연구원들은 공격자가 정상적인 부팅 작업 이전에 /bin/fgfm 파일을 실행함으로써 지속적인 접근 확보하기 위해 펌웨어 이미지의 /sbin/init 폴더를 수정한 것을 발견했다.
공격자는 fgfm 멀웨어가 실행되면 원격 서버에 연결하고 명령을 기다린다. 이 명령을 통해 공격자는 프로그램 종료, 데이터 유출, 파일 다운로드, 쓰기, 원격 셸 액세스 설정 등 다양한 작업을 수행할 수 있다.
포티넷에 따르면, 공격자들은 포티OS에 대해 잘 알고 있을 가능성이 높으며, 궁극적으로 정부 기관을 노리고 있는 것으로 파악됐다.
포티넷은 고객들에게 사용 중인 포티OS를 6.4.12, 7.0.10, 7.2.4 버전으로 업데이트해 달라고 권고했다. 취약점은 포티OS 버전 6.0, 6.2, 6.4.0~6.4.11, 7.0.0~7.0.9, 7.2.0~7.2.3에 영향을 미친다.
한편, 보안 전문가들은 이번 공격이 매우 계획적인 것으로 볼 때, 국가 소속 해커 그룹의 개입 가능성도 배제할 수 없다고 강조했다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
