무슨 일이 있었나
2026년 6월 18일 CISA와 연구자들은 86,644개의 Fortinet 디바이스가 온라인에 노출된 작동 자격 증명으로 손상되었다고 공개했습니다. 위협 행위자는 주요 기업 및 정부 기관을 위한 검증된 자격 증명 데이터베이스를 구축했으며, 이는 이전 위반이나 구성 파일 유출을 통해 수집되었을 가능성이 있습니다.
왜 중요한가
손상된 방화벽은 AI/ML 인프라를 호스팅하는 내부 네트워크의 진입점입니다. 경계 내부에 들어가면 공격자는 모델 서버, 벡터 데이터베이스 및 에이전트 시스템을 손상시킬 수 있습니다. 이는 미션 크리티컬 인프라에 영향을 미치는 광범위한 캠페인입니다.
공격 경로
공격자는 Fortinet 원격 로그인 엔드포인트에 대한 인터넷을 체계적으로 대규모 스캔했다가 발견된 디바이스에 대해 큐레이션된 유출 FortiGate 암호 데이터베이스를 사용했습니다. 성공한 자격 증명 손상은 공격자에게 엔터프라이즈 경계 네트워크에 대한 지속적 접근을 주었으며, 내부 AI/ML 인프라로의 측면 이동을 가능하게 했습니다.
영향받는 시스템
Fortinet FortiGate 방화벽 및 SSL VPN 게이트웨이; 특정 CVE는 없지만 자격 증명 재사용 및 약한 암호 정책을 악용합니다
완화 방안
즉시 조치: 모든 FortiGate 관리자 자격 증명을 고유한 강력한 암호로 변경합니다. 모든 원격 접근에서 MFA를 활성화합니다. 의심스러운 로그인 활동에 대한 로그를 감시합니다. CISA 알림: https://www.cisa.gov/news-events/alerts/2026/06/18/cisa-urges-hardening-fortinet-devices-after-reports-credential-exposure