• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

포티넷의 WAF 제품인 포티웹에서 제로데이 취약점 발견돼 2021.08.18

웹 애플리케이션 방화벽인 포티웹에서 제로데이 취약점이 발견됐다. 6.3.11 이하 버전을 사용하는 조직이라면 눈여겨봐야 할 내용이다. 취약점을 통해 장비 장악이 가능하기 때문이다. 정식 패치는 8월 말 경에 나올 예정이다.

[보안뉴스 문가용 기자] 보안 업체 라피드7(Rapid7)의 연구원들이 포티넷(Fortinet)의 제품인 포티웹에서 치명적인 제로데이 취약점을 찾아냈다. 포티웹(FortiWeb)은 일종의 웹 애플리케이션 방화벽으로, 이 취약점을 익스플로잇 할 경우 공격자들은 자신들이 원하는 장비에 대한 완전 통제권을 가져갈 수 있게 된다고 한다.

[이미지 = utoimage]


취약점은 일종의 ‘OS 명령 주입 취약점’으로 분류됐다. 공격자가 피해자의 OS에서 명령을 실행시킬 수 있게 해 주는 취약점이다. 포티웹 6.3.11 및 이하 버전에서 발견되고 있다. 포트웹의 인터페이스에 정상적으로 인증해 접근할 수 있는 공격자라면 이 취약점을 익스플로잇 해서 공격 지속성을 확보해 주는 셸을 설치하고 암호화폐 채굴 소프트웨어나 다른 멀웨어를 구축할 수 있다. 관리자 인터페이스를 인터넷에 노출한 조직들의 경우 공격자가 이런 공격을 쉽게 실행할 수 있게 된다고 라피드7은 경고했다.

현재 이 취약점에 대한 패치는 나와 있지 않은 상태다. 라피드7은 포티웹 6.3.11 및 이하 버전을 사용하는 조직들이라면 장비 관리자 인터페이스를 네트워크에서 분리시켜야 한다고 권고했다. 특히 인터넷에 연결되어 있는 부분들을 전부 떼어내는 게 중요하다고 밝혔다. 반드시 인터넷 연결이 필요한 상황이라면 VPN이나 다른 신뢰 가능한 내부 망을 통해 간접 연결을 실시하라고 한다.

라피드7의 연구 책임자인 토드 비어즐리(Tod Beardsley)는 “패치보다 먼저 취약점 공개를 했지만 책임감 있는 취약점 공개 정책을 어긴 것은 아니”라고 발표했다. “포티넷에 취약점에 대해 알린 건 66일 전입니다. 하지만 아직까지도 포티넷에서 아무런 응답을 받지 못했습니다.” 포티넷은 라피드7이 60일 대기 기간을 지나 오늘 취약점을 공개하자 “8월말까지 취약점을 패치하겠다”고 발표한 상황이다.

포티넷은 대변인을 통해 “포티넷 내부에서는 서드파티에서 제보한 취약점을 90일 안에 처리한다는 규정을 유지하고 있다”고 해명했다. 즉 라피드7의 60일 기한과 충돌하는 부분이 있을 수밖에 없었다는 것이다. “서로 다른 정책에 대한 고려와 제대로 된 협의 없이 취약점이 공개된 것을 안타깝게 생각합니다. 하지만 최대한 빠르게 패치를 개발해 발표하겠습니다.”

라피드7에 의하면 이번에 발견된 제로데이 취약점은 CVE-2021-22123이라는 취약점과 관련이 깊은 것으로 보인다고 한다. 이 취약점 역시 OS 명령 주입 취약점의 일종으로, 6월 1일 포티넷이 미리 패치한 바 있다. 이 취약점 역시 SAML 서버 설정 페이지(즉 일종의 관리자 인터페이스)를 통해 공격자가 임의 명령을 실행할 수 있게 해 주는 것이었다.

이번 제로데이 취약점을 익스플로잇 하기 위해서는 전제 조건이 성립되어야 한다고 비어즐리는 설명한다. 관리자 인터페이스에 인증하는 과정을 반드시 거쳐야만 한다는 것이다. 즉 “이미 접근 성공한 장비에 한해서” 공격이 가능하다는 뜻이 된다. “하지만 공격자가 높은 권한으로 접근할 필요는 없습니다. 이번 취약점에 권한을 상승시키는 특성이 있거든요. 이 때문에 공격자는 포티웹만이 아니라 그 기저에 깔린 OS도 직접 제어할 수 있게 됩니다. 다른 앱을 설치할 수 있게 되는 것도 물론이고요.”

게다가 이 제로데이 취약점은 CVE-2020-29015와 같은 다른 취약점들과도 결합되는 방식으로 활용될 수도 있다. 포티웹에서는 지난 수개월 동안 여러 개의 취약점이 발견된 바 있는데, 사용자들이 이를 다 패치하지 않았다면 공격자가 더 많은 공격을 할 수 있게 된다.

3줄 요약
1. 포티넷의 웹 애플리케이션 방화벽 제품에서 제로데이 취약점 발견됨.
2. 발견자는 또 다른 보안 업체인 라피드7. 60일 동안 포티넷이 답을 하지 않아서 공개했다고 함.
3. 제로데이 취약점에 대한 패치는 8월 말까지 개발될 예정.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>