Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Fortinet VPN, 약 50,000개의 자격 증명 유출돼
작성일 2020-11-26 조회 31

 

 

 

 

 

Bleeping Computer의 보고에 따르면 주말 동안 약 50,000 개의 취약한 Fortinet VPN에 대한 자격 증명이 유출됐다. 취약한 대상자 명단에는 전 세계 하이스트리트뱅크, 통신사, 정부기관 등에 속한 IP와 사용자 이름, 암호가 포함돼 있다.

 

해당 공격은 CVE-2018-13379로 부터 비롯되었다.  FortiOS의 취약점 CVE-2018-13379은 공격자가 Fortinet VPN에서 민감한 "sslvpn_websession" 파일에 액세스할 수 있게 하는 취약점이다.

 

 

 

노출된 파일들은 세션 관련 정보를 포함하고 있지만, 가장 중요한 것은 Fortinet VPN 사용자의 일반 텍스트 사용자 이름과 비밀번호를 노출할 수 있다는 것이다.

 

 

 


 

[그림 1. 유출된 약 50,000 개의 Fortinet VPN의 자격 증명]

 

 

 

포럼에 게시된 새로운 데이터 세트는 36MB RAR 아카이브에 불과하지만, 압축을 풀면 7GB 이상으로 확장된다.

 

 

이러한 파일에 암호가 노출된다는 것은 취약한 Fortinet VPN이 나중에 패치가 되더라도 자격 증명 스터핑 공격에서 덤프에 액세스하거나 잠재적으로 이러한 VPN에 대한 액세스를 다시 얻을 수 있는 모든 사람이 이러한 자격 증명을 재사용할 수 있다는 것을 의미한다.

 

 

 

 

 

 

[그림 2. 유출된 Fortinet 비밀번호 덤프의 폴더 구조]

 

 

 

Bleeping Computer는 이번 2차 유출에 대한 위협 행위자의 동기는 분명하지 않지만, 새로 유출된 아카이브에는 파키스탄 기반의 VPN IP와 해당 "sslvpn_websession" 파일들을 4만9000개 이상의 대형 VPN 데이터 세트에서 분리하는 것으로 표시된 목록이 있다고 밝혔다.

 

 

 

 

Fortinet측은 지난 해 중대한 Path Traversal 취약점(CVE-2018-13379)이 공개된 이후 고객들에게 반복적으로 경고를 보내며 취약한 FortiOS 인스턴스를 패치하도록 독려했다고 말했다. 이러한 조치에도 불구하고, 치명적인 버그는 패치되지 않아서 광범위하게 사용되며 미국 정부 선거 지원 시스템 공격에도 사용되었다.

 

 

따라서, Fortinet VPN 사용자는 동일한 자격 증명이 사용된 웹 사이트 모두에서 즉시 암호를 변경해야 한다.

 

 

 

 

출처 

https://www.bleepingcomputer.com/news/security/passwords-exposed-for-almost-50-000-vulnerable-fortinet-vpns/

첨부파일 첨부파일이 없습니다.
태그 Fortinet  CVE-2018-13379  Fortinet VPN