포티넷(Fortinet)의 포티매니저(FortiManager) 플랫폼에서 발견된 치명적인 보안취약점이 2024년 6월부터 사이버 공격에 악용된 것으로 확인됐다. 해당 취약점은 CVE-2024-47575로 명명되었으며, ‘포티점프(FortiJump)’라는 별칭으로 불린다. 이 취약점은 포티넷의 포티게이트(FortiGate)와 포티매니저(FortiManager) 간의 통신 프로토콜인 FGFM(FortiGate to FortiManager Protocol) API에서 발견된 인증 누락 문제로, 공격자가 원격에서 인증 없이 명령을 실행하거나 데이터를 탈취할 수 있는 위험성을 가지고 있다.

보안 기업 맨디언트(Mandiant)는 이 취약점이 UNC5820으로 추적되는 위협 행위자 그룹에 의해 악용되었다고 밝혔다. 이들은 무단으로 포티매니저 가상 머신을 포티매니저 서버에 등록한 후, 포티게이트 장비의 구성 데이터를 탈취하는 등 공격을 실행한 것으로 알려졌다. 탈취된 데이터에는 포티게이트 장비의 상세한 설정 정보와 사용자들의 포티OS256(FortiOS256)으로 해시된 암호 등이 포함된 것으로 확인됐다.

포티넷은 이러한 취약점에 대해 즉각적인 패치를 발표했으며, IP 화이트리스트 설정과 인증되지 않은 장치가 포티매니저에 등록되지 않도록 하는 명령어를 통해 추가적인 보완책을 제시했다. 또한, 포티매니저 소프트웨어의 최신 버전(7.2.8 및 7.4.5)으로 업데이트할 것을 권장했다.

이 취약점은 특히 포티매니저를 사용하는 관리형 서비스 제공업체(MSP)들에 큰 위협이 될 수 있다. MSP가 포티매니저를 통해 다수의 네트워크 장비를 중앙에서 관리하기 때문에, 악성 행위자가 이를 통해 더욱 광범위한 네트워크로 침투할 수 있는 위험이 존재한다.

미국의 사이버 보안 및 인프라 보안국(CISA)도 이번 취약점의 심각성을 경고하며, 즉각적인 조치를 취할 것을 권고했다. 이번 공격을 통해 유출된 정보에는 네트워크 구성 및 자격 증명이 포함되었으며, 이를 통해 추가적인 네트워크 침해가 발생할 수 있다.

현재까지 맨디언트와 포티넷 측은 이번 공격에서 악성 페이로드 설치나 시스템 파일 변조 등의 징후는 발견되지 않았다고 밝혔다. 또한, UNC5820의 공격 의도나 위치에 대한 추가적인 정보는 아직 확인되지 않은 상태다.

포티넷은 이와 관련된 더 많은 정보와 지표(IOC)를 제공하며, 고객들이 이 취약점을 탐지할 수 있도록 추가적인 로그 항목과 IP 주소를 공개했다.