Home > 전체기사
포티넷의 SIEM에서 하드코드 된 SSH 공공 키 발견돼
  |  입력 : 2020-01-21 17:09
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
설치될 때마다 생성되는 tunneluser...이 계정의 SSH 공공 키가 이미지에 저장돼
공격자가 이를 취득하게 되면 슈퍼바이저로도 접근 가능...디도스 공격 등 가능


[보안뉴스 문가용 기자] 보안 업체 포티넷(Fortinet)의 SIEM인 포티시엠(FortiSIEM) 내에서 하드코드 된 SSH 공공 키가 발견됐다. 이를 남용할 경우 포티시엠 슈퍼바이저(FortiSIEM Supervisor)에 접근할 수 있게 된다고 한다.

[이미지 = iclickart]


하드코드 된 SSH 키는 tunneluser라는 사용자를 위한 것으로, 포티시엠이 설치될 때마다 똑같은 사용자가 만들어지고 SSH 키가 형성된다고 한다. 또한 포티시엠 이미지 내에도 암호화 되지 않은 상태로 저장된다. 공격자가 쉽게 탈취하고 사용할 수 있게 되며, 따라서 포티시엠 슈퍼바이저에 인증 과정 없이 접근할 수 있게 된다.

보안 업체 사이버라(Cybera Inc)의 보안 전문가인 앤드류 클라우스(Andrew Klaus)는 “사용자의 셸은 /opt/phoenix/phscripts/bin/tunnelshell 스크립트만을 실행하도록 제한되어 있지만, SSH 인증을 통과하는 게 가능하게 된다”고 설명한다.

이 문제에는 CVE-2019-17659라는 취약점 번호가 붙었다. 성공적으로 익스플로잇 할 경우 디도스 공격 등을 감행할 수 있게 된다고 포티넷은 보안 권고문을 통해 밝혔다. 또한 문제가 될 수 있는 tunneluser의 경우, “제한된 셸 내에서만 실행이 되며, 사용자가 슈퍼바이저에서 IP로 터널 연결을 생성하는 데에만 사용된다”고 설명했다.

따라서 연결이 시작되는 IP로 리버스 셸 연결을 구성하는 게 가능하게 된다. “tunneluser라는 기능은 방화벽이 슈퍼바이저와 컬렉터(collector) 사이에 존재할 때, 슈퍼바이저와 컬렉터가 서로 연결될 수 있도록 하기 위해서 마련된 것”이라고 포티넷은 설명한다.

포티넷은 고객들에게 “리버스 터널 기능을 사용하지 않는 상황에서라면 19999 포트의 SSH를 비활성화 시키라”고 권고한다. 또한 슈퍼바이저 내에서 tunneluser 계정과 관련된 키들을 삭제하는 절차들도 알렸다. 22번 포트에 tunneluser가 SSH 접근을 할 수 없도록 조치를 취할 것도 권장된다.

클라우스에 의하면 /home/tunneluser/.ssh/authorized_keys 파일을 삭제하고 노드들이 방화벽 뒤에 위치해 있는 걸 다시 한 번 확인하는 편이 안전하다고 한다.

이 문제가 공개된 건 1월 초의 일이다. 포티시엠 5.2.6 및 이하 버전에 영향을 주는 것으로 알려져 있으며, 지난 주 5.2.7 패치를 통해 해결됐다. 이제는 사용자들이 이 패치를 적용하는 것만이 남아 있는 상황이다.

3줄 요약
1. 포티넷에서 만든 SIEM에서 취약점 발견됨.
2. SSH 키가 암호화 되지 않은 채 저장되어 있다는 게 문제.
3. 포티넷은 5.2.7 버전을 발표함으로써 문제를 해결함. 적용만이 남았음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)