[데일리시큐]퀼린 랜섬웨어, 보안솔루션 취약점 악용해 전 세계 조직 겨냥 사이버 공격

내용 요약

글로벌 랜섬웨어 조직 Qilin(퀼린)이 Fortinet(포티넷)의 FortiOS와 FortiProxy 제품의 취약점을 악용하여 의료기관을 포함한 전 세계 조직을 대상으로 대규모 랜섬웨어 공격을 감행했습니다. Qilin은 RaaS(랜섬웨어 서비스형) 그룹으로 CVE-2023-27997과 CVE-2022-42354 취약점을 이용해 VPN 연결을 통해 시스템에 침투하여 데이터 암호화 및 유출을 진행합니다.

핵심 포인트

• Qilin(퀼린, 팬텀맨티스, 아젠다로도 알려짐)은 FortiOS와 FortiProxy의 취약점을 악용하여 랜섬웨어 공격을 실행.
• CVE-2023-27997(FortiProxy SSL-VPN 취약점)을 통해 시스템에 접근.
• CVE-2022-42354(FortiOS 취약점)을 통해 권한 상승 및 시스템 장악.
• 의료 기관을 포함한 다양한 조직이 공격 대상.
• 공격 성공 시 데이터 암호화 및 유출로 이어짐.
• 포티넷은 해당 취약점에 대한 패치를 배포했으며, 업데이트를 권고.

기술 세부 내용

1️⃣ CVE-2023-27997 (FortiProxy SSL-VPN 취약점)

• 설명: FortiProxy SSL-VPN에서 heap-based buffer overflow 취약점이 발견되었습니다. 인증된 공격자가 특별히 조작된 HTTP 요청을 전송하여 임의 코드 실행을 가능하게 합니다. VPN 연결을 통해 시스템에 접근하는 첫 번째 단계로 사용됩니다.
• 영향: FortiProxy 버전 7.0.6 및 7.2.0 이전 버전
• 위험도: Critical (치명적)
• 공격 유형: Heap-Based Buffer Overflow
• 완화 방법: FortiProxy 최신 버전으로 업데이트

2️⃣ CVE-2022-42354 (FortiOS 취약점)

• 설명: FortiOS에서 인증 우회 취약점이 발견되었습니다. 공격자가 특정 경로를 통해 인증을 우회하고 관리자 권한을 획득할 수 있습니다. CVE-2023-27997을 통해 시스템에 침투한 후 권한 상승 및 시스템 장악을 위해 사용됩니다.
• 영향: FortiOS 버전 7.0.0 ~ 7.0.6, 7.2.0 ~ 7.2.1
• 위험도: Critical (치명적)
• 공격 유형: Authentication Bypass
• 완화 방법: FortiOS 최신 버전으로 업데이트

3️⃣ Qilin (퀼린) Ransomware-as-a-Service (RaaS)

• 설명: Phantom Mantis 또는 Agenda라고도 알려진 Qilin은 2022년 8월에 처음 등장한 RaaS 그룹입니다. Qilin은 이중 갈취 전술(데이터 암호화 및 유출)을 사용하며, 피해자에게 협상을 거부하면 데이터를 공개하겠다고 협박합니다. 이번 공격에서 Qilin은 포티넷 제품의 취약점을 악용하여 시스템에 침투하고 랜섬웨어를 배포했습니다.
• 특징: 이중 갈취 전술, 표적 공격, 높은 기술력
• 위험도: Critical (치명적)

4️⃣ FortiOS & FortiProxy

• 설명: Fortinet에서 개발한 네트워크 보안 어플라이언스 및 소프트웨어입니다. FortiOS는 Fortinet 보안 어플라이언스의 운영 체제이며, FortiProxy는 웹 보안 솔루션입니다. 이 두 제품 모두 전 세계적으로 널리 사용되고 있으며, 중요 인프라를 포함한 다양한 환경에서 사용됩니다. 이번 공격은 이러한 제품의 취약점을 악용하여 이루어졌습니다.

5️⃣ 패치 및 업데이트의 중요성 ❗

• 이번 사건은 소프트웨어 및 시스템의 최신 보안 패치 적용의 중요성을 다시 한번 강조합니다. 포티넷은 이미 해당 취약점에 대한 패치를 배포했으므로, 모든 사용자는 즉시 시스템을 업데이트하여 Qilin과 같은 랜섬웨어 공격으로부터 시스템을 보호해야 합니다. 주기적인 보안 업데이트는 사이버 공격으로부터 시스템을 보호하는 가장 기본적이고 효과적인 방법입니다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=166712