기술 지원
문서
로그인
문의하기
공격자가 악용한 포티넷 및 조호 제품의 패치되지 않은 결함
2023년 3월 7일 TuxCare 홍보팀
사이버 범죄자들은 포티넷과 조호 제품의 패치되지 않은 취약점을 악용하고 있으며, 이로 인해 많은 조직이 취약한 상태에 놓여 있습니다. Check Point Research 보고서에 따르면 공격자들은 몇 달 동안 이러한 취약점을 악용해 왔으며, 최근 몇 주 동안 공격 건수가 크게 증가했습니다.
사전 인증 원격 코드 실행 취약점인 CVE-2022-47966(CVSS 점수: 9.8)을 해결하는 보안 업데이트를 설치하지 않은 조호 제품 사용자는 여러 위협 행위자의 또 다른 공격에 노출될 수 있습니다. 그 결과, 위협 행위자들은 이 취약점을 다음 단계 페이로드를 실행할 수 있는 멀웨어를 배포하는 공격 벡터로 사용하고 있습니다.
두 취약점 모두 심각도 등급이 10점 만점에 9.8점이며, 대규모 네트워크 보안에 중요한 관련이 없는 두 제품에서 발견되었습니다. 첫 번째 취약점인 CVE-2022-47966은 24개의 서로 다른 조호 매니지엔진 제품에서 사전 인증 원격 코드 실행 취약점입니다. 이 취약점은 작년 10월부터 11월까지 순차적으로 패치되었습니다. 두 번째 취약점인 CVE-2022-39952는 FortiNAC라는 포티넷 제품에 영향을 미치며, 지난주에 패치되었습니다.
캠페인의 배후에 있는 공격자들은 다양한 익스플로잇으로 취약한 시스템을 표적으로 삼습니다. 시스템에 액세스한 후에는 공격을 계속할 수 있는 백도어를 설치합니다. 공격자는 보안 어설션 마크업 언어(SAML)를 사용하여 특수하게 조작된 응답이 포함된 표준 HTTP POST 요청을 전송함으로써 원격으로 악성 코드를 실행할 수 있습니다. (SAML은 ID 공급자와 서비스 공급자 간에 인증 및 권한 부여 데이터를 교환하는 데 사용되는 개방형 표준 언어입니다.) 조호가 XML 서명 유효성 검사에 오래된 버전의 apache 산투아리오를 사용했기 때문에 이 결함이 발생했습니다.
침투 테스트 회사인 Horizon3.ai는 지난달 개념 증명(PoC)을 발표한 다음 날부터 익스플로잇 작업을 시작한 것으로 알려져 있습니다. 지금까지 탐지된 공격의 주요 목표는 Netcat 및 Cobalt Strike Beacon과 같은 취약한 호스트에 도구를 배포하는 것이었습니다. 일부 침입은 원격 액세스를 위해 AnyDesk 소프트웨어를 설치하려고 시도했고, 다른 침입은 Windows에 Buhti 랜섬웨어 변종을 설치하려고 시도했습니다.
이 글의 출처는 ArsTechnica의 기사입니다.
