Fortinetサイバーセキュリティ更新が失敗; ゼロデイが脅威アクターによって悪用される

1週間前、サイバーセキュリティ企業Fortinetは、高度なセキュリティ脆弱性CVE-2022-41328を修正するためのセキュリティ更新を配信しました。この脆弱性により、脅威アクターは不正なコマンドやコードを実行することが可能になります。

さて、これを考慮すると、匿名の脅威アクターがゼロデイ脆弱性を利用してFortiOSのバグを悪用し、攻撃者が政府や大企業を標的にすることを可能にしました。最終的には、OS、ファイルの破損、データの損失につながりました。

FortiOSは、その名の通り、Fortinetのオペレーティングシステムであり、企業がネットワークセキュリティOSを使用するためのものです。高度な脅威保護を提供し、統合されたセキュリティアクセス、ネットワークセキュリティなどを提供します。

脆弱性に関するアドバイザリーでは、脅威攻撃者がパッチを適用される前に悪用したバグについては言及されていませんでした。セキュリティ企業が発表した報告書によると、CVE-2022-41328が明らかにされましたが、この脆弱性は、顧客の一人の複数のFortinet FortiGateファイアウォールデバイスをバックドアとして使用し、解体するために利用されました。

「FortiOSにおける制限されたディレクトリへのパス名の不適切な制限の脆弱性（パストラバーサル）[cve-22]は、特権のある攻撃者が作成されたCLIコマンドを介して任意のファイルを読み書きすることを可能にする可能性があります」と、同社はアドバイザリーで述べています。

これらは、FortiOS 6.4.0から6.4.11、FortiOS 7.0.0から7.0.9、バージョン7.2.0から7.2.3、及びFortiOS 6.0から6.2のすべての他のバージョンの脆弱なバージョンです。

読む: Bitwardenパスワードマネージャーの自動入力機能がiframeベースの資格情報盗難に脆弱

この脆弱性を修正するために、管理者は脆弱なセキュリティ企業のForniOSバージョン6.4.12をFortinetOSバージョン7.0.10以降にアップグレードし、FortiOSバージョン7.2.4以上にアップグレードする必要がありました。

セキュリティ企業は、Fortinetの侵害されたデバイスがFIPSエラー：Fire integrity self-test failedメッセージによってエラーモードに入ったため、シャットダウンした後にこれを発見しました。

同社は、FIPS対応デバイスがシステムコンポーネントの整合性を確認し、脆弱性が特定された場合にネットワーク侵害を防ぐためにシャットダウンし、ブートを停止するように構築されていると述べています。

ファイアウォールは、ターゲットネットワーク上のFortiManagerを介して悪用され、すべてが同時に停止したことから、同じ戦術でハッキングされたことを意味します。また、FortiGateのパストラバーサルの脆弱性がFortiManagerを介して実行されたスクリプトと同時に発動しました。

その後の調査では、攻撃者がデバイスのファームウェアイメージ（/sbin/init）を変更して、ブートプロセスが始まる前にペイロード（/bin/fgfm）を起動したことが示されました。

マルウェアはデータの抽出を可能にし、「;7(Zu9YTsA7qQ#vm」という文字列を含むICPMパケットを受信した際にリモートシェルを開いたり、ファイルをダウンロードして書き込んだりしました。

サイバーセキュリティ企業は、攻撃が非常にターゲットを絞ったものであり、脅威アクターが政府ネットワークを好んでいる証拠があると述べています。脅威アクターは、Fortinetのデバイスオペレーティングシステムのリバースエンジニアリングを含む高度な能力を示しました。

攻撃は非常にターゲットを絞ったものであり、政府および政府関連のターゲットを好んでいるという証拠があるとFortinetは述べています。

これらの脆弱性は、FortiOSおよびそのハードウェアに関する深い理解を必要とします。調査によると、攻撃者はセキュリティ企業のOSの多くの部分をリバースエンジニアリングする高度な能力を持っていました。Fortinetの顧客は、可能な攻撃の試みを防ぐためにパッチが適用されたバージョンにアップグレードすることを推奨されています。

読む: BidenCash漏洩：200万以上のクレジット/デビットカードと個人情報が公開