미국 CISA는 포티넷의 포티OS 운영 체제에서 중요한 원격 코드 실행(RCE) 취약점이 사이버공격에 활발하게 악용되고 있다고 경고했다. 이 경고는 지난 목요일에 포티넷이 CVE-2024-21762 보안취약점을 해결한 패치를 발표한 직후에 나온 것이다.
이 취약점은 인증되지 않은 공격자가 특수하게 조작된 HTTP 요청을 통해 원격으로 임의의 코드를 실행할 수 있기 때문에 심각한 위험을 초래할 수 있다. 상황의 심각성을 고려할 때, 관리자는 취약한 디바이스에 패치를 적용하기 위한 보안 업데이트를 신속하게 배포해야 한다. 그러나 즉각적인 업데이트를 적용할 수 없는 경우, 영향을 받는 디바이스에서 SSL VPN을 비활성화하면 위험을 완화하는 임시 조치로 사용할 수 있다.
CISA는 특히 포티넷 장비를 사용하는 정부 기관이 사이버 위협으로부터 예방에 신경을 써야 한다고 강조했다. 미국 연방 기관은 2021년 11월에 발표된 운영 지침(BOD 22-01)에 따라 7일 이내에 포티OS 장치를 보호하도록 의무화했다.
포티넷은 처음에 FortiSIEM 솔루션의 다른 두 가지 중요한 RCE 취약점인 CVE-2024-23108 및 CVE-2024-23109를 이전에 해결된 문제(CVE-2023-34992)와 중복되는 것으로 간주했다. 그러나 나중에 이 취약점들은 실제로 살아있는 취약점인 것으로 밝혀졌다. 결국 포티넷은 이 취약점이 원래 CVE-2023-34992 버그의 변종이라고 인정했다.
효과적인 보안 위협 완화 전략을 실현하기 위해 신속하고 정확한 취약점 공개가 매우 중요하다는 것을 알 수 있다.
특히 원격 코드 실행을 가능하게 하는 포티넷 취약점은 사이버 스파이 활동과 랜섬웨어 공격 등 다양한 목적으로 기업 네트워크에 침투하려는 사이버 공격자들의 주요 표적이 되고 있다. 예를 들어, 최근 보고에 따르면 중국 볼트 타이푼 해킹 그룹은 포티OS SSL VPN 결함을 악용하는 공격과 연계되어 Coathanger 원격 액세스 트로이목마(RAT)와 같은 맞춤형 멀웨어를 배포해 표적 네트워크를 손상시키는 것으로 밝혀졌다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
