포티넷의 SIEM에서 하드코드 된 SSH 공공 키 발견돼

설치될 때마다 생성되는 tunneluser...이 계정의 SSH 공공 키가 이미지에 저장돼
공격자가 이를 취득하게 되면 슈퍼바이저로도 접근 가능...디도스 공격 등 가능

[보안뉴스 문가용 기자] 보안 업체 포티넷(Fortinet)의 SIEM인 포티시엠(FortiSIEM) 내에서 하드코드 된 SSH 공공 키가 발견됐다. 이를 남용할 경우 포티시엠 슈퍼바이저(FortiSIEM Supervisor)에 접근할 수 있게 된다고 한다.

[이미지 = iclickart]

하드코드 된 SSH 키는 tunneluser라는 사용자를 위한 것으로, 포티시엠이 설치될 때마다 똑같은 사용자가 만들어지고 SSH 키가 형성된다고 한다. 또한 포티시엠 이미지 내에도 암호화 되지 않은 상태로 저장된다. 공격자가 쉽게 탈취하고 사용할 수 있게 되며, 따라서 포티시엠 슈퍼바이저에 인증 과정 없이 접근할 수 있게 된다.

보안 업체 사이버라(Cybera Inc)의 보안 전문가인 앤드류 클라우스(Andrew Klaus)는 “사용자의 셸은 /opt/phoenix/phscripts/bin/tunnelshell 스크립트만을 실행하도록 제한되어 있지만, SSH 인증을 통과하는 게 가능하게 된다”고 설명한다.

이 문제에는 CVE-2019-17659라는 취약점 번호가 붙었다. 성공적으로 익스플로잇 할 경우 디도스 공격 등을 감행할 수 있게 된다고 포티넷은 보안 권고문을 통해 밝혔다. 또한 문제가 될 수 있는 tunneluser의 경우, “제한된 셸 내에서만 실행이 되며, 사용자가 슈퍼바이저에서 IP로 터널 연결을 생성하는 데에만 사용된다”고 설명했다.

따라서 연결이 시작되는 IP로 리버스 셸 연결을 구성하는 게 가능하게 된다. “tunneluser라는 기능은 방화벽이 슈퍼바이저와 컬렉터(collector) 사이에 존재할 때, 슈퍼바이저와 컬렉터가 서로 연결될 수 있도록 하기 위해서 마련된 것”이라고 포티넷은 설명한다.

포티넷은 고객들에게 “리버스 터널 기능을 사용하지 않는 상황에서라면 19999 포트의 SSH를 비활성화 시키라”고 권고한다. 또한 슈퍼바이저 내에서 tunneluser 계정과 관련된 키들을 삭제하는 절차들도 알렸다. 22번 포트에 tunneluser가 SSH 접근을 할 수 없도록 조치를 취할 것도 권장된다.

클라우스에 의하면 /home/tunneluser/.ssh/authorized_keys 파일을 삭제하고 노드들이 방화벽 뒤에 위치해 있는 걸 다시 한 번 확인하는 편이 안전하다고 한다.

이 문제가 공개된 건 1월 초의 일이다. 포티시엠 5.2.6 및 이하 버전에 영향을 주는 것으로 알려져 있으며, 지난 주 5.2.7 패치를 통해 해결됐다. 이제는 사용자들이 이 패치를 적용하는 것만이 남아 있는 상황이다.

3줄 요약
1. 포티넷에서 만든 SIEM에서 취약점 발견됨.
2. SSH 키가 암호화 되지 않은 채 저장되어 있다는 게 문제.
3. 포티넷은 5.2.7 버전을 발표함으로써 문제를 해결함. 적용만이 남았음.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)