CVE-2022-40684 탐지: 실제로 악용된 중요한 Fortinet 인증 우회 취약점
목차:
헤드업! 새로운 중요한 취약점이 레이더에 포착되었습니다. Fortinet은 최근 FortiOS, FortiProxy, FortiSwitchManager 장치에서 인증 우회 취약점을 공개했습니다. CVE-2022-40684로 추적되는 이 보안 결함은 자연에서 활발히 악용되고 있어 취약한 제품 인스턴스를 활용하는 Fortinet 고객에게 심각한 위험을 초래하고 있습니다.
CVE-2022-40684 악용 시도 탐지
개념 증명(PoC) 익스플로잇이 웹에 활발히 유포되는 상황에서 신속한 탐지와 적극적인 사이버 방어는 조직 인프라를 새로운 공격으로부터 보호하기 위해 중요합니다. 공격이 탐지되지 않도록 할 기회를 남기지 않기 위해, SOC Prime의 Detection as Code 플랫폼은 SOC Prime 팀과 숙련된 위협 바운티 개발자들이 개발한 전용 시그마 규칙들을 큐레이션합니다. 싯티콘 상라타나삐탁, 오누르 아탈리, 및 낫따톤 츄엔상가룬.
탐지 규칙은 18개의 SIEM, EDR, XDR 솔루션과 호환되며, MITRE ATT&CK® 프레임워크에 맞춰 초기 접근, 횡적 이동, 방어 회피를 다루며, 공공 애플리케이션 익스플로잇 (T1190), 원격 서비스 악용 (T1210), 유효 계정 (T1078)과 같은 기술을 해당합니다.
우리의 위협 보상 프로그램 에 참여하여 시그마 및 ATT&CK 지식을 통해 세계를 좀 더 안전한 곳으로 만드세요. 우리의 Detection as Code 플랫폼에 제출된 위협 탐지, 위협 헌팅, 사고 대응 알고리즘에 대해 보상을 받으세요. 저자의 페이지를 통해 사이버 보안 커뮤니티에서 보이는 경력과 전문성을 향상시키십시오.
버튼을 클릭하여 탐지 살펴보기 CVE-2022-40684에 대한 시그마 규칙, 관련 위협 인텔리전스 링크, MITRE ATT&CK 참조, 위협 헌팅 아이디어, 탐지 엔지니어링 가이던스를 즉시 액세스하십시오.
CVE-2022-40684 분석
단 한 달 뒤 ProxyNotShell 이 사이버 위협 분야에 떠오른 뒤, Fortinet의 제품에서 새로운 중요한 보안 취약점이 발생하여 전 세계 150,000명의 고객에게 상당한 위협을 야기하고 있습니다. Fortinet은 보안 업데이트를 발표했습니다 발표된 취약점의 세부 사항, 영향을 받는 제품 목록, 위협 완화 솔루션을 포함합니다. CVE-2022-40684로 추적되는 이 심각한 취약점은 공격자가 Fortinet의 FortiGate 방화벽, FortiProxy 웹 프록시, FortiSwitch Manager 장치의 시스템에 관리자 권한으로 로그인할 수 있게 합니다. 보고된 취약점은 자연에서 활발히 악용되고 있습니다.
사이버 보안 연구원들은 최근 PoC 익스플로잇을 발표했으며, 이는 GitHub에서 공개적으로 사용 가능하며 공개된 보안 결함의 기술적 근본 원인 분석과 함께 제공됩니다. 이 PoC는 특정 사용자에 대해 SSH 키를 설정하기 위해 Fortinet 인증 우회 버그를 활용합니다. 제공된 조사에 따르면, 인증을 우회하여 취약점을 악용한 후, 공격자는 생성된 HTTP 또는 HTTPS 요청을 사용해 관리 인터페이스에서 악성 작업을 수행할 수 있으며, 여기에는 네트워크 설정 수정, 새로운 사용자 추가, 패킷 캡처 시작 등이 포함됩니다. 다른 새로 공개된 엔터프라이즈 소프트웨어 보안 결함과 마찬가지로, F5 및 VMware 취약점과 유사하게, CVE-2022-40684 익스플로잇은 HTTP 헤더가 잘못 검증되는 일반적인 패턴을 따릅니다.
취약점 공개 및 자연에서 지속적인 공격에 대한 증거 이후, CISA는 CVE-2022-40684를 알려진 악용 취약성 목록에 추가했으며, 보고된 보안 결함이 연방 기업에 중대한 위험을 초래한다고 언급했습니다.
위협 완화를 위한 완화 조치 및 보안 해결 방법으로서, Fortinet의 권장사항은 HTTP/HTTPS 관리 인터페이스를 비활성화하거나 후자에 접근할 수 있는 IP 주소를 제한할 것을 제안합니다. 고객들은 또한 잠재적으로 취약한 소프트웨어를 최신 버전으로 업그레이드하는 것이 강력히 권장됩니다.
CVE-2022-40684를 악용하는 지속적인 공격의 증가와 최대 150,000개의 잠재적으로 침해된 Fortinet 장치를 엄청난 위기에 노출시키는 상황에서 시기적절한 탐지는 필수입니다. 모든 알려진 취약점에 대한 700개의 Sigma 규칙을 획득하여 항상 공격자보다 앞서 나가세요! 즉시 120개 이상의 규칙을 무료로 얻거나 On Demand로 전체 탐지 스택을 얻으십시오 https://my.socprime.com/pricing.
