FortiWeb 패브릭 커넥터의 심각한 SQLi 취약점으로 원격 코드 실행 가능 (CVE 미할당)

FortiWeb 패브릭 커넥터의 심각한 SQL 주입 취약점으로 인한 원격 코드 실행 가능성

보안 연구자들이 Fortinet의 FortiWeb Fabric Connector 7.6.x 버전에서 인증되지 않은 SQL 주입(SQLi) 취약점을 공개했습니다. 이 취약점은 공격자가 취약한 시스템에서 임의 코드를 실행할 수 있게 하며, Exploit Database(EDB-ID 52473)에 게시된 익스플로잇을 통해 원격 코드 실행(RCE)이 가능함을 입증했습니다.

기술적 세부 사항

이 취약점은 FortiWeb Fabric Connector 7.6.0부터 7.6.4 버전에 영향을 미치며, 현재까지 CVE 식별자가 할당되지 않았습니다. 공개된 익스플로잇 세부 정보에 따르면 다음과 같은 특징이 있습니다:

• 공격 벡터: 조작된 HTTP 요청을 통한 인증되지 않은 SQL 주입
• 영향: 시스템 수준 권한으로 원격 코드 실행 가능성
• 공격 경로: SQLi → 명령 주입 → RCE
• 영향을 받는 구성 요소: FortiWeb Fabric Connector 웹 인터페이스

PoC(Proof-of-Concept) 익스플로잇은 공격자가 인증을 우회하고 악의적인 SQL 쿼리를 주입하여 기본 Windows 시스템을 장악할 수 있음을 보여줍니다. 보안 전문가들은 성공적인 공격에는 FortiWeb 관리 인터페이스에 대한 네트워크 접근이 필요하다는 점을 유의해야 합니다.

영향 분석

이 취약점은 영향을 받는 FortiWeb 버전을 사용하는 조직에 다음과 같은 심각한 위험을 초래합니다:

• 인증되지 않은 접근: 공격자가 유효한 자격 증명 없이 취약점을 악용할 수 있음
• 권한 상승: Windows 배포 환경에서 시스템 수준 접근 가능성
• 횡적 이동: 침해된 FortiWeb 장비가 내부 네트워크로의 진입점으로 활용될 수 있음
• 데이터 유출 위험: SQLi 취약점으로 인해 민감한 구성 데이터가 노출될 수 있음

Fortinet은 현재까지 이 취약점에 대한 공식 패치나 보안 권고문을 발표하지 않았습니다. 조직은 Fortinet의 PSIRT 권고문을 모니터링해야 합니다.

완화 권고 사항

공식 패치가 출시될 때까지 보안 팀은 다음 조치를 취해야 합니다:

1. 네트워크 세분화: FortiWeb 관리 인터페이스 접근을 신뢰할 수 있는 네트워크로 제한
2. 웹 애플리케이션 방화벽(WAF): SQL 주입 시도를 탐지하고 차단하는 WAF 규칙 배포
3. 모니터링: FortiWeb Fabric Connector 접근 및 SQL 쿼리 패턴에 대한 강화된 로깅 구현
4. 임시 해결책: 운영에 필수적이지 않은 경우 Fabric Connector 기능 비활성화 고려
5. 취약점 스캔: Nessus 또는 Qualys와 같은 도구를 사용하여 노출된 FortiWeb 인터페이스 스캔

보안 전문가들은 모든 완화 조치를 비운영 환경에서 테스트한 후 배포할 것을 권장합니다. 익스플로잇 공개로 인해 위협 행위자들이 취약한 시스템을 탐색하기 시작할 수 있으므로, 조직은 보호 조치를 신속히 구현해야 합니다.