알려진 취약점의 착취와 새로운 심포 링크 기반 지속 메커니즘을 통해 전 세계 14,000 개가 넘는 Fortinet 장치가 손상되어 민감한 데이터가 잠재적으로 노출 될 수 있습니다.
Shadowserver Foundation은 위협 행위자가 CVE-2022-42475, CVE-2023-27997 및 CVE-2024-21762를 포함한 오래된 중요한 취약점을 악용하여 FortiGate 장치에 액세스했다고보고했습니다. Fortinet은 Symlink Modifications가 공급 업체의 탐지를 피하고 업데이트 후에도 지속되면서 이러한 오래된 취약점을 패치 한 고객 조직은 여전히 손상 될 수 있다고 경고했습니다. Symlink 또는 Symbolic Link는 본질적으로 공격자가 손상된 장치의 파일에 액세스 할 수있는 파일의 바로 가기입니다.
Shadowserver의 최신 스캔은 아시아에서 거의 7,000 개의 타협 된 Fortinet 장치를 보여 주었으며 유럽과 북미에서는 각각 약 3,500 및 2,600 개를 보여주었습니다. 가장 손상된 장치가있는 국가는 미국, 일본, 대만 및 중국입니다. Fortinet의 Ciso Carl Windsor에 따르면, Symlink 메커니즘은 장치의 사용자 파일 시스템에 이식되었으며 파일에 대한 읽기 전용 액세스를 제공하며“장치 구성을 포함 할 수 있습니다”. 네트워크 보안 공급 업체는 SSL-VPN을 지원하지 않은 고객은 위협 활동의 영향을받지 않는다고 지적했습니다.
뉴질랜드의 컴퓨터 응급 대응 팀 (CERT NZ)은 2023 년으로 거슬러 올라가는 Fortinet 취약점에 대한 광범위한 착취에 대해 경고했다. CERT-NZ는 또한 Symlink 메커니즘이 Fortinet 기기에 대한 매우 민감한 데이터에 대한 위협에 액세스 할 수 있다고 경고했다. Cert-NZ Advisory는“타협으로 인해 액터는 자격 증명 및 키 자료를 포함한 손상된 장치에서 민감한 파일에 액세스 할 수 있었을 것입니다.
프랑스의 컴퓨터 응급 대응 팀 (CERT-FR)은 미국의 외출 후 기술을 활용하여 대규모 공격을보고했습니다. “Cert-FR은 프랑스의 수많은 손상된 장치와 관련된 대규모 캠페인을 알고 있습니다. 사고 대응 작업 중에 Cert-FR은 2023 년 초부터 발생하는 타협에 대해 알게되었습니다.” Fortinet은 위협 활동의 영향을받은 고객과 직접 통신하고 장치의 파일 시스템에서 Symlink를 감지하고 제거 할 수있는 업데이트 및 완화를 발표하여 재배치되지 않도록합니다.
Cert-FR은 업데이트를 적용하고 악의적 인 심볼릭 링크를 제거하는 것이 “타협의 경우 충분하지 않다”고 강조했다. 이 기관은 그러한 고객에게 손상된 장치를 네트워크에서 분리하고 악의적 인 활동을 조사하기 위해 “데이터 동결”을 수행 할 것을 촉구했습니다. 암호 및 인증서와 같은 영향을받는 장치의 모든 비밀을 재설정합니다. 손상된 장치를 통해 전송 될 수있는 모든 인증 비밀을 재설정합니다.
