[KRCERT]美 CISA 발표 주요 Exploit 정보공유(Update. 2025-07-18)

내용 요약

Fortinet FortiWeb 제품에서 SQL Injection 취약점(CVE-2025-25257)이 발견되었습니다. 공격자는 이 취약점을 악용하여 인증되지 않은 SQL 코드를 실행할 수 있습니다. Fortinet은 해당 취약점에 대한 완화 조치를 제공하고 있으며, 사용자는 벤더 지침에 따라 조치하거나 BOD 22-01 클라우드 서비스 지침을 따르는 것이 권장됩니다. 완화 조치를 사용할 수 없는 경우 제품 사용을 중단해야 합니다.

핵심 포인트

• Fortinet FortiWeb 제품에 심각한 SQL Injection 취약점 존재
• CVE 번호: CVE-2025-25257
• 인증되지 않은 공격자가 악의적인 HTTP/HTTPS 요청을 통해 SQL 코드 실행 가능
• 벤더에서 제공하는 완화 조치 적용 필요
• BOD 22-01 클라우드 서비스 지침 준수 필요
• 완화 조치 불가능시 제품 사용 중단 권고

기술 세부 내용

1️⃣ SQL Injection (SQLi)

• 정의: SQL Injection(SQLi)은 웹 애플리케이션의 취약점을 악용하여 악의적인 SQL 코드를 주입하는 공격 기법입니다. 공격자는 사용자 입력 필드 또는 다른 데이터 입력 지점을 통해 악성 SQL 쿼리를 삽입하여 데이터베이스에 대한 무단 액세스, 데이터 조작, 삭제 등을 수행할 수 있습니다.
• CVE-2025-25257: 이번 Fortinet FortiWeb에서 발견된 SQLi 취약점은 CVE-2025-25257로 등록되었습니다. 이 취약점을 통해 공격자는 정상적인 HTTP 또는 HTTPS 요청을 변조하여 악의적인 SQL 코드를 주입할 수 있습니다.
• ️ 완화 조치: Fortinet은 이 취약점을 해결하기 위한 완화 조치를 제공하고 있습니다. 사용자는 Fortinet에서 제공하는 패치 또는 업데이트를 적용하여 취약점을 제거해야 합니다. 벤더의 지침을 꼼꼼하게 확인하고 따라야 합니다.
• ☁️ BOD 22-01: 클라우드 서비스 환경에서 FortiWeb을 사용하는 경우, BOD 22-01 지침을 따라야 합니다. 이 지침은 클라우드 환경에서의 보안 강화를 위한 권고 사항을 제공합니다.
• 제품 사용 중단: 만약 벤더에서 제공하는 완화 조치를 적용할 수 없는 상황이라면, FortiWeb 제품 사용을 즉시 중단해야 합니다. 취약점이 해결될 때까지 다른 대안을 고려해야 합니다.

2️⃣ FortiWeb

• 기능: Fortinet FortiWeb은 웹 애플리케이션 방화벽(WAF)으로, 웹 애플리케이션을 대상으로 하는 다양한 공격으로부터 보호합니다. SQL Injection, Cross-Site Scripting(XSS), 악성 파일 업로드 등과 같은 공격을 탐지하고 차단하는 기능을 제공합니다.
• ⚙️ 작동 방식: FortiWeb은 HTTP/HTTPS 트래픽을 검사하여 악의적인 패턴을 식별하고 차단합니다. 시그니처 기반 탐지, 행위 기반 탐지 등 다양한 기술을 사용하여 웹 애플리케이션을 보호합니다.
• 적용: FortiWeb은 기업, 정부기관 등 다양한 조직에서 웹 애플리케이션 보안을 위해 사용됩니다. 중요한 웹 서비스를 보호하고 데이터 유출을 방지하는 데 중요한 역할을 합니다.

3️⃣ BOD 22-01

• 목적: BOD 22-01은 미국 연방 정부 기관에서 클라우드 서비스를 안전하게 사용하기 위한 지침입니다. 클라우드 환경에서 발생할 수 있는 보안 위협으로부터 연방 정부의 정보 시스템을 보호하는 것을 목표로 합니다.
• 주요 내용: BOD 22-01은 클라우드 서비스 제공업체(CSP)와 연방 정부 기관 모두에게 적용되는 보안 요구사항을 포함합니다. 액세스 제어, 데이터 암호화, 취약점 관리, 사고 대응 등 다양한 보안 영역을 다룹니다.

 

출처: https://knvd.krcert.or.kr/detailSecNo.do?IDX=6532