CVE-2024-55591 Detection: Critical Zero-Day Vulnerability in Fortinet FortiOS and FortiProxy Actively Exploited in the Wild
목차:
2025년 1월 중순, 새로운 Fortinet FortiOS 인증 우회 취약점 CVE-2024-55591이 수천 개의 조직을 심각한 위협에 노출시키며 발생했습니다. 이 중요한 제로데이 결함은 FortiGate 방화벽 장치를 취약하게 하여 원격 공격자가 영향을 받은 시스템에서 슈퍼 관리자 권한을 취득할 수 있게 합니다. Fortinet은 이 취약점이 현재 활발하게 악용되고 있음을 확인했으며, 즉각 조치를 취할 것을 요구하고 있습니다.
업데이트: 2025년 1월 28일, watchTowr Labs는 최근 공개 PoC 익스플로잇 코드를 CVE-2024-55591용으로 GitHub에 공개했으며, 기술적 세부사항을 전문 연구에 함께 게재했습니다. Shadowserver가 온라인에서 약 5만 개의 영향을 받는 인스턴스를 보고함에 따라, 방어자들은 취약한 버전을 사용하는 모든 사용자가 신속히 조치를 취하고 필요한 모든 패치를 적용할 것을 강력히 권장합니다. CVE-2024-55591 익스플로잇 시도를 선제적으로 탐지하여 사이버 공격을 규모 이상으로 억제할 수 있는 방법을 탐색하고, Fortinet FortiOS 인증 우회 Fortinet FortiOS 인증 우회 취약점 분석을 아래에서 확인하세요.
Fortinet FortiOS 인증 우회 CVE-2024-55591 악용 시도 탐지
취약점 악용의 사전 탐지는 식별된 취약점 수의 꾸준한 증가로 인해 사이버보안에서 최우선 과제로 남아 있습니다. CVE-2024-55591의 심각한 위협과 광범위한 악용으로 인해 보안 전문가들은 적시에 잠재적 공격을 탐지할 수 있는 신뢰할 수 있는 탐지 컨텐츠가 필요합니다.
SOC Prime 플랫폼 은 공동 사이버 방어를 위한 업계 최초의 CTI 강화 탐지 규칙 피드를 제공하여 이러한 필요를 해결합니다. 포괄적인 제품군에 의해 지원되며 플랫폼은 고급 위협 탐지, AI 기반 탐지 엔지니어링 및 자동화된 위협 사냥을 지원합니다.
SOC Prime 팀은 최근 CVE-2024-55591 악용 시도를 탐지하기 위한 새로운 Sigma 규칙을 발표했습니다. 이 탐지는 공개된 연구와 PoC 코드에 기반하며, 요청이 위의 제품들에 도달하기 전에 수집된 WAF 또는 역방향 프록시와 같은 프론트엔드 소스의 웹 로그가 필요합니다. 이 규칙은 초기 접근 전술 및 해당 공격 공개 표면 (T1190) 기술을 다루는 MITRE ATT&CK®과 일치합니다.
웹 서버를 통해 CVE-2024-55591 (FortiOS 및 FortiProxy 인증 우회) 악용 패턴
를 발견하려면 탐지 탐색 버튼을 클릭하여 Fortinet FortiOS 인증 우회 취약점을 해결하는 전체 Sigma 규칙 세트를 즉시 확인하세요 . 이러한 규칙은 CVE-2024-55591 악용 시도를 다루며, MITRE ATT&CK 프레임워크에 매핑되고 광범위한 위협 인텔로 강화되었으며 30개 이상의 SIEM, EDR 및 Data Lake 솔루션과 호환됩니다.
조사를 진행하려면 사이버 방어자들이 Fortinet 자문에 제공된 IOC를 원활하게 찾을 수 있습니다. SOC Prime의 Uncoder AI 에 의존하여 몇 초 만에 맞춤형 IOC 기반 쿼리를 생성하고 원하는 SIEM 또는 EDR 환경에서 자동으로 작업하세요. 이전에는 기업 고객에게만 제공되던 Uncoder AI가 이제 개별 연구자에게 그 모든 기능을 제공합니다. 여기에서 세부 정보를 확인하십시오 여기.
CVE-2024-55591 분석
2025년 1월 14일, Fortinet은 FortiOS 버전 7.0.0에서 7.0.16, FortiProxy 버전 7.0.0에서 7.0.19 및 FortiProxy 버전 7.2.0에서 7.2.12에 영향을 미치는 중요한 인증 우회 취약점인 CVE-2024-55591에 대한 보안 권고를 발표했습니다. 이 결함은 인증되지 않은 원격 공격자가 Node.js 웹 소켓 모듈에 조작된 요청을 보내 취약점을 악용할 수 있게 합니다. 성공적으로 악용될 경우, 공격자는 영향을 받은 장치에서 슈퍼 관리자 권한을 획득할 수 있습니다.
WatchTowr Labs는 최근에 이 중요한 Fortinet FortiOS 인증 우회, CVE-2024-55591에 대해 공개 PoC 익스플로잇 을 발표했으며, 기술적 세부 사항을 전문 보고서.
에 첨부했습니다. Fortinet은 CVE-2024-55591의 실제 악용을 확인했으며, Arctic Wolf의 연구 는 2024년 11월 중순부터 활성화된 악성 캠페인을 밝혀냈으며, 인터넷에 노출된 관리 인터페이스를 통해 FortiGate 방화벽 장치를 타겟으로 하여 취약점을 활용하고 있음을 밝혔습니다. 연구자들에 따르면, 이 캠페인에는 방화벽 관리 인터페이스에 대한 승인되지 않은 관리자 접근, 새로운 사용자 계정 생성, 해당 계정의 SSL VPN 인증 사용 및 내부 네트워크로의 경로를 구축하는 데 도움을 주는 장치 구성의 여러 수정사항이 포함되어 있었습니다.
Fortinet의 자문 에 따르면 사용자들은 HTTP/HTTPS 관리 인터페이스를 비활성화하거나 로컬 인-정책을 사용하여 어떤 IP 주소가 인터페이스에 도달할 수 있는지를 제한하여 접근을 제한해야 한다고 권장합니다. 추가로, 사용자들은 가능하다면 FortiOS 7.0의 경우 FortiOS 7.0.17 이상, FortiProxy 7.0의 경우 FortiProxy 7.0.20 이상, FortiProxy 7.2의 경우 FortiProxy 7.2.13 이상의 안전한 버전으로 업그레이드할 것을 권장합니다.
SOC Prime 플랫폼 공동 사이버 방어를 위한 액세블은 보안 팀이 보편적인 소프트웨어 제품의 CVE를 포함하여 모든 규모와 정교함의 사이버 위협을 확장하여 최적화된 보안 태세로 위험을 관리할 수 있도록 지원합니다.
