米国連邦捜査局(Federal Bureau of Investigation)は、内部ネットワークにアクセスする手段として、FatPipeネットワーク機器のゼロデイ脆弱性を悪用するAPT(Advanced Persistent Threat)を発見したと発表しました。
FBIのフォレンジック分析により少なくとも2021年5月からFatPipe MPVPNデバイスソフトウェアのゼロデイ脆弱性が悪用されていることが判明しました
FBIによると、この脆弱性によりハッキンググループはデバイスのファームウェアのファイルアップロード機能を悪用し、ルートアクセスが可能なウェブシェルをインストールすることができたとのことです。
FBIによると、ハッカーたちがこのゼロデイを利用したのはFatPipe MPVPNデバイスに対してのみとのことですが、この脆弱性はIPVPNやWARPなど他の製品にも影響を与えるものとのことです。
いずれの製品も企業がネットワークの境界に設置し、従業員がインターネット経由で社内のアプリケーションにリモートアクセスできるようにするためのさまざまなタイプのVPNとして機能します。
FBIによると、調査中に発見したゼロデイは、現在独自のCVE識別子を持っていないとのことです。
FatPipe社は、FPSA006として追跡されている内部セキュリティアドバイザリを通じて、パッチと追加情報をリリースしました。
同社によれば、今回発見された脆弱性を悪用してデバイスの設定ファイルを上書きすることにより、攻撃者はパッチが適用されていないシステムを完全に制御することができるとのことです。
Shodanの検索によると、現在約800台のFatPipe MPVPNデバイスがインターネットに公開されているようです。
IT部門やセキュリティ部門がFatPipeシステムがハッキングされたかどうかを確認したり、侵入者のウェブシェルを検出したりするのに使用できるよう、IOC(Indicator of compromise)とYARAシグネチャを公開しています
https://www.ic3.gov/Media/News/2021/211117-2.pdf
FatPipe社は、本件で自社のシステムをサイバー侵入に悪用されたネットワーク機器メーカーのリストに加わってしまいました。このリストにはCisco社、Microsoft社、Oracle社、F5 Networks社、Palo Alto Networks社、Fortinet社、Citrix社などの大手メーカーが含まれています。
ファイアウォール、VPNサーバー、ネットワークゲートウェイ、ロードバランサーなどのネットワーク機器を標的とした攻撃は、COVID-19パンデミックに急増しました。
これらの機器は、リモートワーカーが社内のアプリケーションに接続するための手段として、ほとんどすべての大企業や政府機関のネットワークに設置されており、積極的に攻撃に利用できると攻撃者が気づいてしまったためです。
本脆弱性の概要
FatPipeソフトウェアのWeb管理インターフェースに脆弱性があり、認証されたリモートの攻撃者が読み取り専用の権限を持っている場合、脆弱性が存在するデバイス上でAdministratorユーザーのレベルに権限を昇格させられる可能性があります。
影響を受ける製品
warp、mpvpn、ipvpn:10.1.2 および 10.2.2 以前のバージョン
本脆弱性の詳細
この脆弱性は、影響を受けるデバイス上の特定のHTTPリクエストに対する入力および検証チェックのメカニズムが欠如していることが原因です。攻撃者は、影響を受けるデバイスに変更されたHTTPリクエストを送信することで、この脆弱性を悪用することができます。悪用されると、読み取り専用のユーザーである攻撃者が、あたかも管理者ユーザーであるかのように機能を実行することができます。
FatPipe社では、この脆弱性に対応したソフトウェア・アップデートを公開しています。
回避方法
この脆弱性に対応する回避策はありません。脆弱性を回避するためには、すべてのWANインターフェースでUIアクセスを無効にするか、インターフェースページでアクセスリストを設定し、信頼できるソースからのアクセスのみを許可するようにしてください。
Comments