Fortinet, FortiCloud SSO 인증 우회 공격 활발히 이용 경고
Fortinet이 FortiCloud SSO 인증 시스템의 취약점을 악용한 공격이 진행 중임을 확인했습니다. 보안 패치가 적용된 기기에서도 인증 우회가 가능해 기업 네트워크에 심각한 위협이 되고 있습니다.
Fortinet, FortiCloud SSO 인증 우회 공격 활발히 이용 확인
Fortinet은 위협 행위자들이 FortiCloud 싱글 사인온(SSO) 인증 시스템의 취약점을 적극적으로 악용하고 있다고 확인했습니다. 이 취약점으로 인해 공격자들은 보안 패치가 적용된 기기에서도 인증 제어를 우회할 수 있습니다.
Fortinet은 FortiCloud SSO 로그인 메커니즘을 대상으로 한 지속적인 공격 보고를 받은 후 경고를 발령했습니다. 현재 Fortinet은 이 취약점에 대한 구체적인 기술적 세부 정보를 공개하지 않았지만, 최근 Fortinet 제품에서 발견된 인증 우회 결함과 유사한 양상으로 보입니다.
기술적 세부 사항 및 공격 벡터
현재 Fortinet은 이 취약점에 대한 CVE 식별자를 공개하지 않았습니다. 그러나 보안 연구원들은 공격 벡터가 이전에 공개된 FortiCloud SSO 결함과 유사하다고 지적하며, 주로 다음 사항을 포함합니다:
- 인증 토큰 또는 세션 처리 메커니즘 조작
- SSO 로그인 요청에서 부적절한 입력 검증 악용
- 다중 인증(MFA) 보호 우회
패치가 적용된 기기에서도 여전히 취약한 점으로 미루어 보아 다음 두 가지 가능성 중 하나일 수 있습니다:
- SSO 구현에 존재하는 새로운 미패치 취약점, 또는
- 공격자들이 이전에 완화된 결함의 잘못된 설정 또는 잔여 취약점을 악용하고 있는 경우.
영향 분석
이 취약점을 성공적으로 악용할 경우 인증되지 않은 공격자가 다음을 수행할 수 있습니다:
- Fortinet 관리 인터페이스에 무단 접근
- FortiCloud 환경 내에서 권한 상승
- 연결된 Fortinet 기기 및 서비스 간 횡적 이동
- 민감한 데이터 유출 또는 추가 악성 페이로드 배포
Fortinet이 기업 및 정부 네트워크에서 널리 사용되고 있다는 점을 고려할 때, 이 취약점은 FortiCloud를 중앙 집중식 인증 및 기기 관리에 의존하는 조직에 중대한 위험을 초래합니다.
완화 조치 및 권고 사항
Fortinet은 아직 이 특정 취약점에 대한 공식 패치나 권고 사항을 발표하지 않았습니다. 그러나 보안 팀은 다음 조치를 취하는 것이 좋습니다:
- Fortinet의 PSIRT 권고 사항을 모니터링하여 업데이트 및 공식 지침을 확인합니다(Fortinet PSIRT).
- FortiCloud 접근 로그에서 의심스러운 인증 시도 또는 비정상적인 활동을 검토합니다.
- 엄격한 네트워크 세분화를 시행하여 침해 시 횡적 이동을 제한합니다.
- 추가 인증 제어를 구현합니다. 예를 들어 FortiCloud SSO에 대해 IP 화이트리스트 또는 조건부 접근 정책을 적용합니다.
- 가능한 경우 FortiCloud SSO를 일시적으로 비활성화하고, 패치가 제공될 때까지 수동 인증을 시행합니다.
SecurityWeek는 이 상황을 지속적으로 모니터링하며, 추가 기술적 세부 사항이 공개되는 대로 업데이트를 제공할 예정입니다.
원본 기사: Ionut Arghire, SecurityWeek.