CISA, Fortinet 취약점 경고... Palo Alto 및 Cisco 긴급 보안 패치 발표

CISA, Fortinet 제품의 심각한 취약점 경고

미국 사이버 보안 및 인프라 보안국(CISA)이 Fortinet 제품에 영향을 미치는 심각한 보안 취약점을 '공격에 이용되는 취약점 목록'(KEV) 카탈로그에 추가했습니다. 이는 현재 활발히 악용되고 있는 정황을 발견한 데 따른 조치입니다.

이 취약점은 CVE-2024-23113으로, CVSS 점수 9.8을 받았으며, FortiOS, FortiPAM, FortiProxy, FortiWeb에서 원격 코드 실행을 가능하게 합니다. Fortinet은 해당 취약점에 대해 "FortiOS fgfmd 데몬의 외부 제어 형식 문자열 취약점(CWE-134)을 악용해 원격의 인증되지 않은 공격자가 임의의 코드나 명령어를 실행할 수 있다"고 설명했습니다.

현재 해당 취약점이 어떤 방식으로 악용되고 있으며, 구체적으로 어떤 대상이 공격받고 있는지는 자세히 밝혀지지 않았습니다. 이에 따라 미 연방 민간 행정 기관(FCEB)은 2024년 10월 30일까지 Fortinet이 제공한 보안 조치를 적용해야 합니다.

Palo Alto Networks, Expedition 취약점 공개

이와 동시에 Palo Alto Networks는 Expedition 소프트웨어에서 데이터베이스 접근과 임의 파일 읽기, 쓰기가 가능한 여러 보안 취약점을 발표했습니다.

이 취약점들은 1.2.96 버전 이전의 모든 Expedition 버전에 영향을 미치며, 주요 취약점은 다음과 같습니다:

CVE-2024-9463 (CVSS 점수: 9.9) - 인증되지 않은 사용자가 임의의 OS 명령어를 실행할 수 있는 OS 명령어 삽입 취약점
CVE-2024-9464 (CVSS 점수: 9.3) - 인증된 사용자가 임의의 OS 명령어를 루트 권한으로 실행할 수 있는 취약점
CVE-2024-9465 (CVSS 점수: 9.2) - 인증되지 않은 사용자가 데이터베이스 내용을 확인할 수 있는 SQL 삽입 취약점
CVE-2024-9466 (CVSS 점수: 8.2) - 방화벽 사용자 이름, 비밀번호 및 API 키를 노출할 수 있는 민감 정보 평문 저장 취약점
CVE-2024-9467 (CVSS 점수: 7.0) - 인증된 사용자가 클릭 시 악성 스크립트가 실행되는 반사형 XSS 취약점

이 취약점들은 Horizon3.ai의 Zach Hanley와 Palo Alto Networks의 Enrique Castillo에 의해 발견되었으며, 문제를 재현하는 방법이 공개되어 있지만 실제 악용 사례는 보고되지 않았습니다. 현재 약 23대의 Expedition 서버가 인터넷에 노출되어 있으며, 주로 미국, 벨기에, 독일, 네덜란드, 호주에 위치하고 있습니다. 이에 따라 접근 권한을 제한하고, 사용하지 않을 때는 소프트웨어를 종료할 것을 권장합니다.

Cisco, Nexus Dashboard Fabric Controller 취약점 패치

지난주 Cisco는 Nexus Dashboard Fabric Controller(NDFC)에서 발견된 심각한 명령어 실행 취약점에 대한 패치를 배포했습니다. 이 취약점은 사용자 인증 절차의 불충분한 검증에서 비롯된 것으로, CVE-2024-20432(CVSS 점수: 9.9)로 추적됩니다.

해당 취약점은 인증된 낮은 권한의 원격 공격자가 명령어 주입 공격을 통해 영향을 받는 기기에서 네트워크 관리자 권한으로 임의의 명령어를 실행할 수 있도록 합니다. 취약점은 NDFC 버전 12.2.2에서 해결되었으며, 버전 11.5 이하는 취약하지 않은 것으로 확인되었습니다.

Cisco는 "해당 REST API 엔드포인트나 웹 UI를 통해 조작된 명령어를 제출하면 공격자가 CLI에서 임의의 명령어를 실행할 수 있다"고 밝혔습니다. 사용자들은 최신 버전으로 업데이트할 것을 권장받고 있습니다.