Mandiant는 2024년 6월에 처음 악용된 것으로 확인된 FortiManager의 제로데이 취약점(CVE-2024-47575) 악용에 대한 세부 정보를 공개했습니다. 이 취약점을 통해 공격자는 영향을 받는 기기에서 임의의 코드를 실행할 수 있습니다.
특히 흥미로운 점은 UNC5820으로 추적되는 위협 그룹이 악용된 FortiManager에서 관리하는 FortiGate 기기의 구성 데이터를 어떻게 스테이징하고 유출했는지입니다. 이러한 세부 정보는 FortiManager와 같은 보안 관리 인프라를 보호하는 것이 얼마나 중요한지 보여줍니다. 이를 손상시키면 전체 네트워크에 연쇄적인 영향을 미칠 수 있기 때문입니다.
다행히 Mandiant는 UNC5820이 피해자 환경 내에서 측면으로 이동하기 위해 도난당한 구성 데이터를 활용했다는 증거를 찾지 못했습니다. 그러나 이들이 이 정보를 훔치려고 시도했다는 사실은 침해된 액세스 권한을 더 악용할 계획이었음을 시사합니다.
이 사건은 네트워크 보안에 대한 경계를 늦추지 않는 것이 얼마나 중요한지 잘 보여줍니다. 보안 패치로 시스템을 최신 상태로 유지하고, 의심스러운 활동을 모니터링하고, 최소 권한 원칙을 구현하면 이러한 공격의 피해자가 될 위험을 크게 줄일 수 있습니다.
