최근 Fortinet에서 발표한 보안 권고에 따르면,
자사의 여러 제품에서 발견된 치명적인 스택 기반 버퍼 오버플로우 취약점이 실제 공격에 악용되고 있음이 확인됐습니다.
특히 FortiVoice 시스템을 겨냥한 이 제로데이(CVE-2025-3462 및 CVE-2025-3463)는
인증 없이도 공격자가 원격에서 악성 명령을 실행할 수 있도록 해,
사용 중인 조직에 심각한 보안 위협을 가하고 있습니다.
🚨 어떤 제품이 영향을 받았을까?
Fortinet의 발표에 따르면 이번 취약점은 다음과 같은 여러 제품군에 영향을 미칩니다:
- FortiVoice
- FortiMail
- FortiNDR
- FortiRecorder
- FortiCamera
이 중 FortiVoice는 현재 실제 공격이 확인된 유일한 제품이며,
기타 제품들도 동일한 취약점을 공유하므로 선제적인 조치가 필요합니다.
🔍 어떤 방식으로 공격이 이루어졌나?
공격자는 HTTP 요청을 통해 FortiVoice 시스템에 접근하고,
시스템에 악성 명령을 실행해 네트워크 정보를 수집하고 크론 작업(cron job)을 등록하거나,
SSH 로그인 시도 시 자격 증명을 가로채는 방식으로 침투했습니다.
특히, 공격자는 다음과 같은 악의적인 행위를 수행했습니다:
- ✅ 네트워크 스캔 및 시스템 정보 수집
- ✅ 시스템 로그 삭제 및 은폐
- ✅ SSH 자격 증명 수집
- ✅ 악성 파일 배포 및 스케줄 작업 등록
이러한 공격은 FastCGI 디버깅 기능을 악용해 시스템 내에서 동작하며,
다음과 같은 악성 파일이 사용되었습니다.
| 파일명 | 기능 |
| /bin/wpad_ac_helper | 메인 악성코드 (Credential 수집, 네트워크 탐색 등) |
| /lib/libfmlogin.so | SSH 자격 증명 수집 라이브러리 |
| /tmp/.sshdpm | 수집된 정보 저장 파일 |
| /bin/fmtest | 네트워크 스캐닝 도구 |
🧪 IOC(침해지표)로 이상 여부 확인하기
Fortinet은 다음과 같은 침해지표를 공개했습니다:
- 의심스러운 IP: 198.105.127.124, 43.228.217.173, 등
- 로그 메시지: mod_fcgid: error reading data 또는 signal 11 관련 오류
- 크론 작업 등록 여부: /data/etc/crontab에 주기적 패스워드 수집 명령이 삽입된 경우
- /etc/httpd.conf에 mod_socks5.so 포함 여부
이러한 지표를 바탕으로 시스템 내 이상 여부를 점검하고,
침해 사실이 확인된다면 즉시 대응해야 합니다.
🛠️ 대응 방법 및 패치 버전
Fortinet은 이번 취약점에 대해 다음과 같은 대응을 권고하고 있습니다:
🔐 패치 적용 (권장)
각 제품군에 따라 아래 버전 이상으로 업그레이드 하세요:
- FortiVoice: 7.2.1 이상
- FortiMail: 7.6.3, 7.4.5, 7.2.8, 7.0.9 이상
- FortiNDR: 7.6.1, 7.4.8, 7.2.5, 7.0.7 이상
- FortiRecorder: 7.2.4, 7.0.6, 6.4.6 이상
- FortiCamera: 2.1.4 이상 (이전 버전은 마이그레이션 권장)
🧯 임시 조치 (패치 전까지)
- HTTP/HTTPS 관리자 인터페이스 비활성화
- 외부에서의 관리자 접근 차단 (IP 제한 등)
🧭 이 취약점이 위험한 이유
- 🧨 인증 없이 공격 가능 (Unauthenticated RCE)
- 🧬 실제 공격 사례 존재 (In the wild)
- 🧾 자격 증명 탈취로 이어질 수 있어 2차 피해 가능성 높음
- 🧱 Fortinet 제품은 많은 기업 보안망에 필수 장비로 사용 중 → 대규모 피해 우려
📌 요약
| 항목 | 내용 |
| 취약점 | CVE-2025-3462, CVE-2025-3463 |
| 위험도 | ⭐️⭐️⭐️⭐️⭐️ (CVSS 9.4) |
| 대상 | FortiVoice 외 다수 Fortinet 제품 |
| 실제 공격 여부 | 있음 (FortiVoice에서 확인) |
| 대응 방안 | 패치 적용, 관리자 인터페이스 제한, IOC 기반 모니터링 |
| 우선순위 | 🔴 즉시 조치 필요 |
🧩 마무리하며…
이번 Fortinet 취약점은 기업 네트워크에 직접적인 영향을 줄 수 있는 심각한 보안 이슈입니다.
특히 인증 없이 원격에서 악성 명령을 실행할 수 있는 구조이기 때문에,
아직 패치를 하지 않았다면 지금 당장 버전 확인 후 조치하는 것이 중요합니다.
또한, 관리자 접근 경로를 제한하고 이상 행위 모니터링을 강화함으로써 공격에 대한 선제적 방어 태세를 갖추는 것이 필수입니다.
🔐 보안은 한순간의 방심으로 무너질 수 있습니다.
패치와 감시로 여러분의 시스템을 지켜주세요!
'CyberSecurity > Security🔐' 카테고리의 다른 글
| 오픈소스 생태계를 노리는 공급망 공격, 이제는 개발자도 해커의 타깃! ☠️ (0) | 2025.05.16 |
|---|---|
| 💥 Coinbase 내부자 해킹 사건! 2,000만 달러 갈취 시도와 CEO의 결단 (3) | 2025.05.16 |
| 🛡️ Adobe, 39개 보안 취약점 긴급 패치! ColdFusion부터 Photoshop까지 대규모 업데이트 (0) | 2025.05.14 |
| 🛡️ 또 IE의 유령? Edge IE 모드 악용한 제로데이 등장! – 2025년 5월 Microsoft 보안 업데이트 정리 (2) | 2025.05.14 |
| 🕵️♂️ 중국 해커 Earth Ammit, 드론만 노린 줄 알았다고요? 공급망 전체가 타깃이었습니다! (2) | 2025.05.14 |