요약
※ 2019년 7월 31일 KISA 업데이트 보안 권고 발표
- 2019년 블랙햇에서 발표된 Pulse Secure VPN(CVE-2019-11510)과 Fortinet 사의 FortiGate VPN(CVE-2018-13379)
취약점을 이용한 공격이 이루어지고 있음.
* 취약점 관련 발표 자료 제목 : "Infiltrating Corporate Intranet Like NSA: Pre-auth RCE on Leading SSL VPNs"
(PDF로 보기: https://i.blackhat.com/USA-19/Wednesday/us-19-Tsai-Infiltrating-Corporate-Intranet-Like-NSA.pdf)
- 공격 패턴 : 취약 시스템을 스캔 → Pulse Secure VPN의 시스템 패스워드와, FortiGate VPN의 VPN 세션 파일을 탈취
→ 성공 시 공격자는 장비의 인증을 통과하거나 실제 VPN 세션으로 위장할 수 있음.
- 취약점 스캔 IP : 2.137.127.2, 81.40.150.167, 185.25.51.58
- 공식 대응법 : 취약 버전 업데이트
(참고 : https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35101)
관련 CVE정보
- CVE-2019-11510
- CVSS Base Score : 8.8
- 현재 공격에 사용되고 있는 PoC : https://devco.re/blog/2019/08/09/attacking-ssl-vpn-part-2-breaking-the-Fortigate-ssl-vpn/
- PoC : https://github.com/imjdl/CVE-2019-11510-poc/blob/master/poc.py
https://github.com/projectzeroindia/CVE-2019-11510?fbclid=IwAR1ItHo1CPawodILvooxs_u3U9tc8WqiOYr1DFFrPRSvWGaOpAYxuGg6b4s
https://www.tenable.com/blog/cve-2019-11510-proof-of-concept-available-for-arbitrary-file-disclosure-in-pulse-connect-secure
참고자료
출처 : https://badpackets.net/over-14500-pulse-secure-vpn-endpoints-vulnerable-to-cve-2019-11510/
https://kb.pulsesecure.net/pkb_mobile#article/l:en_US/SA44101/s
https://www.zdnet.com/article/hackers-mount-attacks-on-webmin-servers-pulse-secure-and-fortinet-vpns/
'Incident Report' 카테고리의 다른 글
| [2019.09.19] WS-Discovery 프로토콜을 이용한 DDoS 공격 탐지 (0) | 2019.09.19 |
|---|---|
| [2019.09.02] 8월 29일 기점 미라이 감염 장비 DVR/IP BruteForcing 공격 이상 트래픽 탐지 (0) | 2019.09.02 |
| [2019.08.30] Webmin 취약점 공격 성행 (CVE-2019-15107) (0) | 2019.09.02 |
| [2019.08.06] WordPress 서비스를 이용한 리눅스 봇넷 백도어 다운로드 현황 포착 (0) | 2019.09.02 |
| [2019.06.10] BlueKeep에 이은 GoldBrute RDP 서버 무차별 대입공격 성행 (0) | 2019.06.10 |