공격자가 악용한 포티넷 및 조호 제품의 패치되지 않은 결함
사이버 범죄자들은 포티넷과 조호 제품의 패치되지 않은 취약점을 악용하고 있으며, 이로 인해 많은 조직이 취약한 상태에 놓여 있습니다. Check Point Research 보고서에 따르면 공격자들은 몇 달 동안 이러한 취약점을 악용해 왔으며, 최근 몇 주 동안 공격 건수가 크게 증가했습니다.
사전 인증 원격 코드 실행 취약점인 CVE-2022-47966(CVSS 점수: 9.8)을 해결하는 보안 업데이트를 설치하지 않은 조호 제품 사용자는 여러 위협 행위자의 또 다른 공격에 노출될 수 있습니다. 그 결과, 위협 행위자들은 이 취약점을 다음 단계 페이로드를 실행할 수 있는 멀웨어를 배포하는 공격 벡터로 사용하고 있습니다.
두 취약점 모두 심각도 등급이 10점 만점에 9.8점이며, 대규모 네트워크 보안에 중요한 관련이 없는 두 제품에서 발견되었습니다. 첫 번째 취약점인 CVE-2022-47966은 24개의 서로 다른 조호 매니지엔진 제품에서 사전 인증 원격 코드 실행 취약점입니다. 이 취약점은 작년 10월부터 11월까지 순차적으로 패치되었습니다. 두 번째 취약점인 CVE-2022-39952는 FortiNAC라는 포티넷 제품에 영향을 미치며, 지난주에 패치되었습니다.
캠페인의 배후에 있는 공격자들은 다양한 익스플로잇으로 취약한 시스템을 표적으로 삼습니다. 시스템에 액세스한 후에는 공격을 계속할 수 있는 백도어를 설치합니다. 공격자는 보안 어설션 마크업 언어(SAML)를 사용하여 특수하게 조작된 응답이 포함된 표준 HTTP POST 요청을 전송함으로써 원격으로 악성 코드를 실행할 수 있습니다. (SAML은 ID 공급자와 서비스 공급자 간에 인증 및 권한 부여 데이터를 교환하는 데 사용되는 개방형 표준 언어입니다.) 조호가 XML 서명 유효성 검사에 오래된 버전의 apache 산투아리오를 사용했기 때문에 이 결함이 발생했습니다.
침투 테스트 회사인 Horizon3.ai는 지난달 개념 증명(PoC)을 발표한 다음 날부터 익스플로잇 작업을 시작한 것으로 알려져 있습니다. 지금까지 탐지된 공격의 주요 목표는 Netcat 및 Cobalt Strike Beacon과 같은 취약한 호스트에 도구를 배포하는 것이었습니다. 일부 침입은 원격 액세스를 위해 AnyDesk 소프트웨어를 설치하려고 시도했고, 다른 침입은 Windows에 Buhti 랜섬웨어 변종을 설치하려고 시도했습니다.
이 글의 출처는 ArsTechnica의 기사입니다.