025년 2월 12일, 포티넷(Fortinet)의 FortiOS 및 FortiProxy 제품에서 새로운 제로데이 취약점(CVE-2025-24472)이 발견되었다. 이 취약점은 인증 우회를 가능하게 하며, 공격자가 정당한 인증 없이 관리자 권한으로 시스템에 접근할 수 있도록 한다. 해당 취약점은 실제 공격에서 악용된 정황이 포착되었으며, 포티넷은 긴급 패치를 배포하고 사용자들에게 즉각적인 조치를 취할 것을 권고했다. 이번 글에서는 CVE-2025-24472 취약점의 개요와 공격 사례를 살펴보고, Criminal IP Asset Search를 활용하여 인터넷에 노출된 포티넷 장비를 식별하는 방법에 대해 알아보겠다.
CVE-2025-24472 취약점 개요
CVE-2025-24472 취약점은 포티넷의 보안 제품인 FortiOS 및 FortiProxy에서 발생하며, 인증 우회(Authentication Bypass)를 가능하게 하는 치명적인 보안 결함이다. 공격자는 특수하게 조작된 요청을 서버에 전송하여 정상적인 인증 절차를 우회하고, 관리자 권한을 획득할 수 있어 기업 및 기관의 네트워크 보안에 큰 위협이 될 수 있다.
포티넷은 CVE-2025-24472 취약점의 영향을 받는 제품 버전을 다음과 같이 공개했다:
- FortiOS: 버전 7.0.0 ~ 7.0.16
- FortiProxy: 버전 7.0.0 ~ 7.0.19, 7.2.0 ~ 7.2.12
(정확한 버전 정보는 포티넷의 공식 보안 공지 참고 바람)
CVE-2025-24472의 실제 공격 사례
포티넷에 따르면 CVE-2025-24472는 이미 일부 사이버 공격 그룹에 의해 악용된 사례가 발견되었다. 특히, 특정 위협 행위자들이 정부 기관, 금융 기업, 대기업을 대상으로 한 공격에서 이 취약점을 활용한 정황이 포착되었다.
GBHackers에 따르면, 해당 취약점을 활용한 공격은 다음과 같은 방식으로 진행된다:
- 공격자는 인터넷에 노출된 FortiOS 및 FortiProxy 관리 인터페이스를 스캔하여 취약한 시스템을 식별한다.
- 취약점을 악용하여 인증 없이 관리자 권한을 획득한다.
- 네트워크 내 추가 확장을 위해 백도어를 설치하거나 민감한 데이터를 탈취한다.
Criminal IP Asset Search를 활용한 포티넷 장비 탐색
인터넷에 노출된 FortiOS 및 FortiProxy 장비를 식별하는 것은 보안 위협을 최소화하는 중요한 단계다. Criminal IP Asset Search는 인터넷에 노출된 장비를 손쉽게 검색할 수 있는 강력한 보안 도구로, 이 검색엔진을 통해 특정 키워드나 필터를 사용하면 인터넷에 노출된 장비를 빠르게 확인할 수 있다.
Criminal IP Search Query: title: Web Filter Block Override
Criminal IP Asset Search로 “title: Web Filter Block Override” 검색을 통해, 2025년 2월 19일 기준으로 FortiOS 장비 2,479,299건이 인터넷에 노출되어 있는 것을 확인할 수 있었다.
검색 결과에 나온 IP 주소 중 하나를 클릭해보면, 4개의 오픈 포트, 13개의 취약점이 발견되었다. 취약점 중 하나는 깃허브 PoC에서 유출되어 있어 즉각적인 조치가 필요해 보인다. 또한, 1개의 Exploit DB도 발견되었으며, 이 IP주소는 보안 상 매우 취약한 상태로 보인다.
Criminal IP Search Query: title:”FortiProxy”
Criminal IP Asset Search로 “title: FortiProxy”를 검색한 결과에 따르면, 2025년 2월 19일 기준으로 인터넷에 노출된 FortiProxy 장비는 911건이었다.
이 제품들이 모두 CVE-2025-24472 취약점을 가지고 있는 것은 아니지만, 인터넷에 노출된 시스템은 공격 표면이 넓어 위험성이 크다. 특히, 관리자 인터페이스가 외부에 노출된 경우 공격자가 손쉽게 인증 우회 취약점을 악용할 가능성이 크므로, 조직은 반드시 네트워크 접근을 제한해야 한다. Criminal IP Asset Search를 사용하면 포티넷 장비의 인터넷 노출 여부를 쉽게 확인하고, 해당 시스템이 공격 가능성이 높은진 판단할 수 있어, 이를 통해 기업은 사전 예방 조치를 더욱 효과적으로 수행할 수 있다.
FAQ – 자주 묻는 질문
Q1. CVE-2025-24472 취약점이 모든 포티넷 제품에 영향을 미치나요?
아닙니다. 이번 취약점은 FortiOS 및 FortiProxy 제품의 특정 버전에만 영향을 미칩니다. 자세한 영향 범위는 포티넷의 공식 보안 공지를 참고하세요.
Q2. 추가 보안 패치 및 완화 조치는 어떤 것이 있을까요?
포티넷은 이번 취약점을 해결하기 위한 보안 패치를 배포했으며, 해당 제품을 사용하는 모든 조직은 다음과 같은 조치를 취할 것을 권장합니다.
- 최신 보안 업데이트 적용: 포티넷이 제공하는 최신 펌웨어 및 보안 패치를 즉시 설치하는 것이 중요합니다.
- 관리자 인터페이스 보호: 외부 네트워크에서 FortiOS 및 FortiProxy의 관리 인터페이스에 직접 접근하지 못하도록 방화벽 규칙을 수정하는 것이 좋습니다.
- MFA(다중 인증) 활성화: 계정 보안을 강화하기 위해 관리자 계정에 MFA를 설정을 권장합니다.
- 로그 모니터링 강화: 의심스러운 로그인 시도를 감지하고 이상 징후가 없는지 네트워크 트래픽을 지속적인 모니터링 해야합니다.
결론
CVE-2025-24472 취약점은 포티넷 제품을 사용하는 조직에게 심각한 보안 위협이 될 수 있다. 따라서, 포티넷의 보안 패치를 신속하게 적용하고, 네트워크 보안을 강화하는 것이 중요하다. Criminal IP는 위협 인텔리전스를 기반으로 최신 보안 동향을 지속적으로 모니터링하며, 고객들이 보다 안전한 환경을 유지할 수 있도록 지원하고 있다.
관련하여 포티넷 RCE 버그에 취약한 장치 1천 대 이상 발견(CVE-2024-21762) 글을 참고할 수 있다.
데이터 출처: Criminal IP (https://www.criminalip.io/ko), 블리핑컴퓨터 (https://www.bleepingcomputer.com/news/security/fortinet-discloses-second-firewall-auth-bypass-patched-in-january/), gbhackers (https://gbhackers.com/fortinet-fortios-fortiproxy-zero-day/)
관련 글 :