CVE-2022-42475 취약점

2022년부터 2023년 사이에 중국과 연계된 국가 후원 위협 행위자는 알려진 심각한 보안 결함을 악용하여 전 세계적으로 20,000개의 Fortinet FortiGate 시스템에 침투했습니다. 이번 위반은 이전에 인정된 것보다 더 광범위한 영향을 드러냅니다.

이 작업을 담당하는 국가 행위자는 Fortinet이 이를 공개하기 최소 두 달 전에 이미 FortiGate 시스템의 취약점을 알고 있었습니다. 제로데이 창으로 알려진 이 기간 동안 공격자는 14,000개의 장치를 성공적으로 손상시켰습니다.

2024년 초 네덜란드 군사 정보 보안국(MIVD)과 일반 정보 보안국(AIVD)의 공동 보고서에 따르면 중국 해커는 중요한 FortiOS/FortiProxy 원격 코드 실행 취약점인 CVE-2022-42475를 악용했습니다. 공격자는 2022년과 2023년 몇 달에 걸쳐 취약한 Fortigate 네트워크 보안 어플라이언스에 악성코드를 설치했습니다.

공격자들은 손상된 장치에 Coathanger RAT를 배포했습니다.

이번 공격에서 발견된 RAT(Coathanger Remote Access Trojan) 악성코드는 특히 분류되지 않은 프로젝트의 연구 개발(R&D)에 사용되는 네덜란드 국방부 소속 네트워크에서도 발견되었습니다. 다행스럽게도 네트워크 분할로 인해 공격자가 다른 시스템에 침투하는 것은 방지되었습니다.

시스템 재부팅 및 펌웨어 업그레이드를 통해 지속될 수 있는 이전에 공개되지 않은 이 악성 코드 변종은 중국 정부가 후원하는 해킹 그룹이 네덜란드와 그 동맹국을 표적으로 삼는 정치 스파이 캠페인에 사용되었습니다. 이는 국가 행위자에게 손상된 시스템에 대한 지속적인 액세스 권한을 부여했습니다. FortiGate에서 보안 업데이트를 설치하더라도 국가 행위자는 이 액세스 권한을 유지합니다.

악성코드가 설치된 정확한 피해자 수는 아직 알려지지 않았습니다. 그러나 연구원들은 국가 행위자가 잠재적으로 전 세계 수백 명의 피해자에게 접근 권한을 확대하여 데이터 도난과 같은 추가 조치를 취할 수 있다고 추측합니다.

사이버 범죄자는 여전히 침해된 장치에 접근할 수 있습니다

2월부터 Fortinet이 CVE-2022-42475 취약점을 공개하기 최소 두 달 전인 2022년부터 2023년까지 중국 위협 그룹이 전 세계 20,000개 이상의 FortiGate 시스템에 액세스했다는 사실이 밝혀졌습니다.

MIVD는 Coathanger 악성 코드가 시스템 호출을 가로채서 탐지를 회피하는 데 능숙하여 그 존재를 식별하기 어렵게 만들기 때문에 중국 해커가 수많은 피해자에 대한 액세스를 유지할 가능성이 있다고 제안합니다. 또한 제거에 대한 복원력이 뛰어나며 펌웨어 업그레이드에도 견딜 수 있습니다. CVE-2022-42475는 2023년 1월에 공개된 바와 같이 주로 정부 기관 및 산하 기관을 대상으로 하는 제로데이 취약점으로 악용되었습니다.

이러한 공격은 펌웨어 업그레이드를 통해 지속되도록 설계된 사이버 스파이 악성 코드를 사용하여 패치가 적용되지 않은 SonicWall SMA(Secure Mobile Access) 어플라이언스를 악용하는 데 초점을 맞춘 또 다른 중국 해킹 캠페인과 눈에 띄는 유사점을 공유합니다.