CVE-2022-42475 탐지: FortiOS SSL-VPN의 제로데이 취약점, 정부 기관 및 대규모 조직에 대한 공격에서 악용

경계하십시오! 보안 연구원들은 FortiOS SSL-VPN의 제로데이 취약점에 대해 글로벌 사이버 방어 커뮤니티에 경고하고 있으며, 이는 2022년 12월에 패치되었습니다. CVE-2022-42475로 추적된 이 보안 결함은 인증되지 않은 원격 코드 실행(RCE)을 초래하며 전 세계 정부 기관 및 대기업에 대한 표적 공격에서 악용되었습니다. 

CVE-2022-42475 탐지: 인증되지 않은 원격 코드 실행을 초래하는 치명적 힙 버퍼 오버플로 취약점

정부 조직을 표적으로 삼는 이 취약점을 악용하는 공격이 증가함에 따라, 시기적절한 탐지와 선제적인 사이버 방어는 공공 인프라를 가능한 침입으로부터 보호하는 데 중요합니다. 공격자가 탐지를 피할 기회를 남기지 않기 위해, SOC Prime의 Detection as Code Platform은 CVE-2022-42475의 악용 시도를 탐지하는 Sigma 규칙 묶음을 제공합니다. 

FortiOS – sslvpnd 내 힙 기반 버퍼 오버플로 악용 지표 [CVE-2022-42475] (웹을 통해)

이 규칙은 SOC Prime 팀에 의해 정부 기관에 대한 표적 공격과 관련된 FortiOS SSL-VPN의 치명적 힙 버퍼 오버플로의 악용 패턴을 식별하기 위해 개발되었습니다. 이 탐지는 16개의 SIEM, EDR, 및 XDR 솔루션과 호환 가능하며 MITRE ATT&CK® 프레임워크 v12는 공개 접근 애플리케이션 악용(T1190)을 대응 기법으로 하는 초기 접근 전술을 다룹니다.

가능한 FortiOS – sslvpnd 내 힙 기반 버퍼 오버플로 악용 지표 [CVE-2022-42475]

위는 CVE-2022-42475의 악용 지표를 식별하기 위한 SOC Prime 팀의 또 다른 Sigma 규칙입니다. 이 탐지는 14개의 SIEM, EDR, 및 XDR 포맷으로 번역되어 제공되며 MITRE ATT&CK의 초기 접근 및 권한 상승 전술을 다루며 공개 접근 애플리케이션 악용(T1190)과 권한 상승을 위한 악용(T1068)을 대응 기법으로 합니다. 

신규 취약점에 대한 750개 이상의 Sigma 규칙이 준비되어 있습니다! 탐지 탐색 버튼을 눌러 관련 위협 탐지 콘텐츠, 대응 CTI 링크, ATT&CK 참조, 위협 사냥 아이디어 및 탐지 엔지니어링 지침을 즉시 액세스하십시오. 

탐지 탐색

CVE-2022-42475 분석

최신 정보에 따르면 SOC Prime의 Detection as Code 혁신 보고서에 따르면, 선제적인 취약점 악용은 2021-2022년의 주요 탐지 콘텐츠 우선순위 중 하나입니다. 2023년 초에, 위협 행위자들은 보안 결함을 악용하려는 시도를 멈추지 않습니다. 

Fortinet 연구원들 은 최근 알 수 없는 공격자들이 지난달 패치된 제로데이 FortiOS 취약점을 국가 기관과 대기업을 공격하기 위해 악용했다는 보고를 했습니다. 이러한 공격에서 악용된 FortiOS SSL-VPN의 식별된 취약점(CVE-2022-42475)은 힙 기반 버퍼 오버플로 버그로, 해커들이 원격 코드 실행(RCE)을 수행하고 특정 요청을 통해 감염된 시스템을 마비시킬 수 있도록 합니다. 

Fortinet은 이 취약점을 2022년 12월 중순에 CVE-2022-42475로 추적 중에 발견했습니다. 활발하게 악용되었다는 보고된 사례들 때문에, 회사는 보안 권고 를 발표하여 제공된 IOC 목록을 통해 시스템을 검증하기 위한 권장 사항을 공유했습니다. 네트워크 보안 회사는 FortiOS 7.2.3 버전에서 버그를 수정하여 관련 패치를 출시하고 벤더의 고객이 그들의 환경을 보호할 수 있도록 IPS 서명을 발급했습니다.

그러나 2023년 1월 1일, Fortinet은 CVE-2022-42475가 악용되어 침해된 FortiOS 인스턴스를 악용해 악성 코드를 확산시켰고, 이는 IPS 엔진의 트로이 목마 버전으로 밝혀졌다는 후속 보고서를 발표했습니다. 회사의 연구자들은 이 악용 시도가 정교한 공격자들에 의해 수행되었으며 정부 관련 조직을 겨냥한 표적 공격을 목표로 했다는 것을 인정했습니다. 

현재 진행 중인 캠페인에서 위협 행위자들은 지속성을 유지하고 탐지를 피하기 위해 고급 기술을 활용하였으며, 이는 전체 공격의 복잡성을 증가시킵니다. 취약점 악용은 공격자들이 로그 파일을 조작하고 FortiOS 로깅 프로세스를 파괴할 수 있는 악성 샘플을 투하할 수 있게 합니다. Fortinet의 연구에 따르면, 해커들의 최종 목표는 표적 장치의 IPS 안티멀웨어 기능을 마비시키고 추가 페이로드를 전달하고 명령 실행을 가능한 원격 서버에 연결하기 위해 맞춤형 Linux 임플란트를 확산시키는 것이었습니다.

포티OS 환경에 대한 심층적인 이해를 포함하는 고급 공격, 일반적인 임플란트 악용 및 역공학 기술의 사용은 이 캠페인과 관련된 위협 행위자들이 고급 역량을 가지고 있으며 사이버 방어자들에게 도전을 제기한다는 가정을 시사합니다. 고급 지속 위협(APT) 관련 도구 및 공격과 관련된 악성 활동을 식별하려면, SOC Prime의 탐지 콘텐츠 저장소를 활용하여 900개 이상의 규칙을 탐색하십시오. https://socprime.com/ 에서 200개 이상 무료로 얻거나 https://my.socprime.com/pricing에서.