Fortinet SSL VPN 취약점 (CVE-2018-13379)
Fortinet 제품에서 인증되지 않은 공격자가 취약점을 활용한 HTTP Request를 통해 시스템 파일을
다운로드 하거나 특정 경로를 접근하여 ID, Password를 알아낼 수 있다.
해당 글의 작성 시점인 2022년 8월까지 취약점 페이로드를 사용하는 공격이 여전히 탐지되고 있다.
취약점 버전
|
제조사
|
제품
|
제품 버전
|
|
fortinet
|
FortiOS
|
6.0.0 - 6.0.4
|
|
fortinet
|
FortiOS
|
5.6.3 - 5.6.7
|
|
fortinet
|
FortiOS
|
5.4.6 - 5.4.12
|
|
fortinet
|
FortiProxy
|
2.0.0
|
|
fortinet
|
FortiProxy
|
1.2.0 - 1.2.8
|
|
fortinet
|
FortiProxy
|
1.1.0 - 1.1.6
|
|
fortinet
|
FortiProxy
|
1.0.0 - 1.0.7
|
취약점 패치 버전
FortiOS 5.4.13 이상
FortiOS 5.6.8 이상
FortiOS 6.0.5 or 6.2.0 이상
취약점 페이로드
[Target IP]/remote/fgt_lang?lang/.. 패턴
lang 매개변수를 통한 취약점 공격이 이루어짐
취약점 공격 예시
악성 페이로드 : [Target IP]/remote/fgt_lang?lang=/../../../..//////////dev/cmdb/sslvpn_websession
위와 같은 sslvpn_websession 페이로드를 통해 아래 그림와 같이 ID, Password를 탈취 가능하다.
악용 사례
CVE-2018-13379 취약점을 악용해 Cring 랜섬웨어 공격 사례가 존재함
CVE-2018-13379 취약점 외 함께 사용된 Forti 취약점
> CVE-2019-5591, CVE-2020-12812
랜섬웨어 분석 사례 : https://www.cyberone.kr/news-trends-detail?id=72066&page=1
결론
취약점 패치 전에 ID, Password를 모두 탈취하였을 경우,
취약점 패치 후에도 이미 탈취한 정보로 Credential Stuffing 공격이 이루어 질 수 있다.
그러므로 '취약점 패치 + ID, Password' 변경을 권장한다.
Credential Stuffing
Credential Stuffing 공격은 공격자가 일반적으로 사용자 이름 및/또는 이메일 주소 목록과 해당 암호로
구성된 도난당한 계정 자격 증명을 수집한 다음 자격 증명을 사용하여 대규모 자동 로그인을 통해
사용자 계정에 무단으로 액세스하는 사이버 공격 유형입니다.
'IT 보안' 카테고리의 다른 글
| 악성코드 고급 분석의 기초 명령어 설명 (0) | 2024.09.23 |
|---|---|
| vBulletin RCE - CVE-2019-16759 분석 자료 (0) | 2024.09.23 |
| ThinkPHP 원격코드 실행 취약점 (CVE-2018-20062) (0) | 2024.09.23 |
| DNS 터널링(Tunneling) (0) | 2024.09.23 |
| 제로 데이 공격 (0) | 2024.09.23 |
