CVE-2024-47575 탐지: 제로데이 공격에서 악용된 FortiManager API 취약점

공격자는 종종 유명 소프트웨어 제품의 취약점을 악용하여 고프로파일 공격을 시작합니다. RCE 사이버 보안 연구원들은 최근 여러 산업 분야에서 50개 이상의 잠재적으로 손상된 장치를 포함하여 FortiManager 인스턴스의 광범위한 악용을 확인했습니다. 방어자들은 중요한 FortiManager API 취약점(CVE-2024-47575로 추적됨)을 공개했으며, 이 취약점은 공격자가 임의의 코드나 명령을 실행하고 구성, IP 주소 및 관리 장치의 자격 증명이 포함된 민감한 파일을 도난하도록 제로데이 공격에서 악용되었습니다.

CVE-2024-47575 악용 시도 탐지

새로운 날은 또 다른 중요한 취약점의 적극적인 악용을 가져왔습니다. 이번에는 FortiManager 인스턴스에서 원격 코드 실행 공격이 야생에서 사용될 수 있도록 보안 전문가들이 보안 결함을 공개했습니다. UNC5820 식별자로 Mandiant가 추적한 새로운 위협 행위자가 이 악용과 연결되었습니다.

잠재적인 공격에 앞서기 위해 사이버 방어자는 SOC Prime 플랫폼을 활용할 수 있으며, 이는 관련 탐지 규칙과 고급 위협 탐지, 자동화된 위협 사냥 및 AI 기반 탐지 엔지니어링을 위한 완전한 도구 모음을 제공합니다.

CVE-2024-47575 악용 시도를 발견하기 위해 SOC Prime 팀이 제공하는 전용 Sigma 규칙을 확인하세요:

Possible CVE-2024-47575 (Fortiguard FortiManager Missing Authentication) Exploitation Attempt (via 웹서버)

이 규칙은 16개의 보안 분석 솔루션과 호환되며 MITRE ATT&CK® 프레임워크에 매핑되어, 공공 응용 프로그램 악용(T1190)이라는 해당 기술과 함께 초기 액세스 전술을 해결합니다.

새로운 CVE 탐지를 목표로 하는 광범위한 탐지 스택을 탐색하려면 탐지 탐색 버튼을 클릭하세요. 보안 전문가들은 ATT&CK 참조와 CTI 링크가 포함된 심층적인 사이버 위협 컨텍스트를 얻고, 자신이 속한 조직에 맞춘 실행 가능한 메타데이터를 획득하여 위협 연구를 원활하게 할 수 있습니다.

탐지 탐색

CVE-2024-47575 분석

2024년 10월에, Mandiant는 Fortinet 연구원들과 협력하여 다수의 산업에서 50개 이상의 FortiManager 장치를 대상으로 하는 대규모 악용을 조사했습니다. CVSS 점수 9.8로 식별된 매우 중요한 제로데이 취약점이 악용되었으며 CVE-2024-47575로 식별되며, 이 취약점은 위협 행위자들이 허가 없이 FortiManager 장치를 활용하여 RCE를 수행할 수 있도록 허용합니다.

에 따르면 Fortinet의 자문에 따르면, CVE-2024-47575는 FortiManager fgfmd 데몬의 중요한 기능에 대한 인증 누락 [CWE-306]으로 인해 특수하게 제작된 요청을 통해 원격의 인증되지 않은 공격자가 임의의 코드나 명령을 실행할 수 있습니다.

Mandiant는 CVE-2024-47575 악용과 잠재적으로 연결된 새로운 위협 클러스터 UNC5820을 식별했으며, 2024년 6월부터 이 취약점을 무기화하고 있습니다. 적들은 구성 데이터와 포티오스256-해시한 비밀번호를 포함한 FortiGate 장치에서 세부 구성을 탈취했습니다. 이 데이터는 UNC5820이 FortiManager를 추가로 침입하고 네트워크 내 측면 이동 활동을 수행하는 데 초록불을 줄 수 있습니다.

식별된 제로데이 결함은 FortiManager 7.x 및 6.x 버전뿐만 아니라 FortiManager Cloud 7.x 및 6.x 버전에 영향을 미칩니다. 또한, fgfm 서비스가 활성화된 인터페이스가 하나 이상 있고 특정 구성이 활성화된 경우 구형 FortiAnalyzer 모델 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G, 3900E에도 영향을 미칩니다.

에 따르면 Censys에 따르면, 온라인에 노출된 FortiManager 관리자 포털이 4K+개 이상 있으며 이 중 거의 30%가 미국에 위치하고 있으며, 공개적으로 액세스 가능한 인스턴스의 약 20%는 Microsoft Cloud와 연결되어 있습니다. 하지만 이러한 FortiManager 장치 중 몇 개가 CVE-2024-47575에 취약한지 여부는 현재 충분한 정보가 없는 상태입니다.

CVE-2024-47575 악용의 위험을 최소화하기 위해 Fortinet은 권고를 발행했으며 특정 IP 주소를 알림 목록에 두는 로컬 인 정책 구현(FortiOS 버전 7.2.0 이상), 또는 커스텀 인증서 활용(소프트웨어 버전 7.2.2 이상, 7.4.0 이상, 7.6.0 이상)와 같은 최근 펌웨어 업데이트를 즉시 설치할 수 없는 사용자를 위한 해결 방법, 패치 업데이트 및 다양한 완화 옵션을 제공합니다.

제로데이 취약점 CVE-2024-47575는 CISA의 알려진 악용 취약점 카탈로그 에 포함되어 있으며, 사이버 보안 인식을 높이고 악용으로 인한 증가하는 위험에 대해 조직에 알립니다. CVE-2024-47575의 RCE 가능성과 취약성의 손쉬운 악용으로 인해 위험을 과소평가할 수 없으므로 조직은 자신의 방어력을 강화하는 것이 좋습니다. SOC Prime의 완전한 제품 모음 은 AI 기반 탐지 엔지니어링, 자동화된 위협 사냥 및 고급 위협 탐지를 통해 보안 팀이 가장 빠른 공격 단계에서 발생하는 위협을 식별하고 조직의 사이버 보안 태세를 위험에 맞추어 최적화하도록 돕습니다.