제로데이 취약점, 포티넷 포티게이트 방화벽을 겨냥하다

사이버 보안 회사 Arctic Wolf는 금요일에 위협 행위자들이 최근에 공용 인터넷에 노출된 관리 인터페이스를 가진 포티넷 포티게이트 방화벽 장치를 겨냥한 것으로 보이는 제로데이 캠페인을 공개했습니다.

Arctic Wolf Labs 연구자들에 따르면, 포티넷 방화벽에 대한 악의적인 활동은 2024년 11월 중순에 시작되었습니다. 알려지지 않은 위협 행위자들은 영향을 받은 방화벽의 관리 인터페이스에 접근하여 방화벽 구성을 변경하고 손상된 환경에서 DCSync를 사용하여 자격 증명을 추출했습니다.

“이 캠페인은 방화벽의 관리 인터페이스에 대한 무단 관리 로그인, 새로운 계정 생성, 해당 계정을 통한 SSL VPN 인증 및 다양한 다른 구성 변경을 포함했습니다.”라고 Arctic Wolf의 보안 연구자들은 지난주에 발표된 블로그 게시물에서 작성했습니다.

이 캠페인에서 사용된 초기 접근 벡터는 현재 알려져 있지 않지만, Arctic Wolf Labs는 영향을 받은 조직의 제한된 일정과 영향을 받은 펌웨어 버전의 범위를 고려할 때 제로데이 취약점의 “대규모 악용 캠페인”이 가능성이 높다고 확신하고 있습니다.

2024년 2월과 2024년 10월에 각각 출시된 7.0.14와 7.0.16 버전의 펌웨어가 주로 영향을 받았습니다.

Arctic Wolf Labs는 현재 2024년 11월부터 2024년 12월 사이에 취약한 포티게이트 장치를 겨냥한 캠페인의 네 가지 별도의 공격 단계를 확인했습니다:

1단계: 취약점 스캐닝 (2024년 11월 16일 ~ 2024년 11월 23일)

2단계: 정찰 (2024년 11월 22일 ~ 2024년 11월 27일)

3단계: SSL VPN 구성 (2024년 12월 4일 ~ 2024년 12월 7일)

4단계: 수평 이동 (2024년 12월 16일 ~ 2024년 12월 27일)

첫 번째 단계에서 위협 행위자들은 취약점 스캔을 수행하고 비정상적인 IP 주소(예: 루프백 주소(예: 127.0.0.1) 및 Google Public DNS, Cloudflare와 같은 인기 있는 DNS 해석기)와의 연결을 통해 jsconsole 세션을 사용했습니다. 이는 위협 탐색의 이상적인 대상이 되었습니다.

정찰 단계에서 공격자들은 여러 피해 조직에서 무단 구성 변경을 최초로 수행하여 그들이 성공적으로 방화벽에서 변경을 수행할 수 있는 접근 권한을 얻었는지 확인했습니다.

캠페인의 세 번째 단계에서 위협 행위자들은 손상된 장치에 상당한 변경을 가하여 SSL VPN 접근을 설정했습니다.

일부 침입에서는 새로운 슈퍼 관리자 계정을 생성했으며, 다른 경우에는 기존 계정을 탈취하여 SSL VPN 접근을 얻었습니다. 위협 행위자들은 사용자 계정이 직접 추가된 새로운 SSL VPN 포털도 생성했습니다.

마지막 단계에서는 피해 조직의 환경 내에서 SSL VPN 접근을 성공적으로 얻은 후, 위협 행위자들은 DCSync 기술을 사용하여 수평 이동을 위한 자격 증명을 추출했습니다.

사이버 보안 회사에 따르면, 위협 행위자들은 진행하기 전에 영향을 받은 시스템에서 제거되었습니다.

Arctic Wolf Labs는 2024년 12월 12일 이 캠페인에서 관찰된 활동에 대해 포티넷에 통보했습니다. FortiGuard Labs PSIRT는 2024년 12월 17일, 알려진 활동을 인지하고 있으며 문제를 적극적으로 조사하고 있다고 확인했습니다.

이러한 알려진 보안 문제로부터 보호하기 위해 Arctic Wolf Labs는 조직들이 즉시 공용 인터페이스에서 방화벽 관리 접근을 비활성화하고 신뢰할 수 있는 사용자로 접근을 제한할 것을 권장합니다.

또한 알려진 취약점으로부터 보호하기 위해 방화벽 장치의 펌웨어를 최신 버전으로 정기적으로 업그레이드할 것을 권장합니다.