Fortinet: 政府ネットワークを攻撃するためのゼロデイとして使用される新しい FortiOS バグ

未知の攻撃者がゼロデイエクスプロイトを使用して、今月パッチが適用された新しい FortiOS のバグを悪用し、政府や大規模な組織を標的とした攻撃を行い、OS やファイルの破損やデータの損失を引き起こしました。

フォーティネットは 2023 年 3 月 7 日にセキュリティアップデートをリリースし、脅威アクターが不正なコードやコマンドを実行することを可能にするこの重大度の高いセキュリティ脆弱性 (CVE-2022-41328) に対処しました。

FortiOS の制限されたディレクトリの脆弱性 (「パストラバーサル」) [CWE-22] へのパス名の不適切な制限により、特権のある攻撃者が巧妙に細工された CLI コマンドを介して任意のファイルを読み書きできる可能性があります。

影響を受ける製品のリストには、FortiOS バージョン 6.4.0 ～ 6.4.11、FortiOS バージョン 7.0.0 ～ 7.0.9、FortiOS バージョン 7.2.0 ～ 7.2.3、および FortiOS 6.0 と 6.2 のすべてのバージョンが含まれます。

セキュリティ上の欠陥にパッチを当てるには、管理者は脆弱な製品を FortiOS バージョン 6.4.12 以降、FortiOS バージョン 7.0.10 以降、または FortiOS バージョン 7.2.4 以降にアップグレードする必要があります。

この欠陥のアドバイザリでは、パッチがリリースされる前にバグが実際に悪用されたことについては言及されていませんでしたが、先週公開されたフォーティネットのレポートでは、CVE-2022-41328 エクスプロイトが、1 つのデバイスに属する複数の FortiGate ファイアウォールデバイスをハッキングしてダウンさせるために使用されていたことが明らかになりました。その顧客の。

Table of contents

データ盗難マルウェア
政府のネットワークを攻撃するために使用されるゼロデイ

データ盗難マルウェア

このインシデントは、侵害された Fortigate デバイスが「FIPS エラーが原因でシステムがエラーモードに入る: ファームウェアの整合性セルフテストに失敗しました」というメッセージが表示されてシャットダウンし、再起動に失敗した後に発見されました。

Fortinet は、FIPS 対応デバイスがシステムコンポーネントの整合性を検証し、侵害が検出された場合にネットワーク侵害をブロックするために自動的にシャットダウンして起動を停止するように構成されているため、これが発生すると述べています。

これらの Fortigate ファイアウォールは、被害者のネットワーク上の FortiManager デバイスを介して侵害されました。これらすべてが同時に停止され、同じ戦術を使用してハッキングされ、FortiGate パストラバーサルエクスプロイトが FortiManager を介して実行されるスクリプトと同時に開始されたことが条件です。

その後の調査で、攻撃者がデバイスファームウェアイメージ (/sbin/init) を変更して、起動プロセスが開始される前にペイロード (/bin/fgfm) を起動したことが判明しました。

このマルウェアは、「;7(Zu9YTsA7qQ#vm」文字列を含む ICMP パケットを受信すると、データの引き出し、ファイルのダウンロードと書き込み、またはリモートシェルを開くことができます。

政府のネットワークを攻撃するために使用されるゼロデイ

フォーティネットは、攻撃者が政府のネットワークを好んでいたことを示すいくつかの証拠から、攻撃は高度に標的化されていると結論付けました。攻撃者は、FortiGate デバイスのオペレーティングシステムの一部をリバースエンジニアリングするなど、「高度な機能」も実証しています。

「攻撃は高度に標的化されており、政府または政府関連の標的が好まれていることを示すヒントがいくつかあります」と同社は述べています。

「エクスプロイトには、FortiOS とその基盤となるハードウェアについての深い理解が必要です。カスタムインプラントは、攻撃者が FortiOS のさまざまな部分のリバースエンジニアリングを含む高度な機能を持っていることを示しています。」

フォーティネットのお客様は、潜在的な攻撃の試みをブロックするために、パッチを適用したバージョンの FortiOS にすぐにアップグレードすることをお勧めします (IOC のリストもここで入手できます)。

Fortinet は 1 月に、2022 年 12 月にパッチが適用され、 CVE-2022-42475として追跡された FortiOS SSL-VPN の脆弱性が、政府機関および政府関連団体を標的とするゼロデイバグとしても使用された、非常によく似た一連のインシデントを明らかにしました。

FortiOS SSL-VPN のゼロデイ攻撃は、パッチが適用されていない SonicWall セキュアモバイルアクセス (SMA) アプライアンスをサイバースパイマルウェアに感染させた中国のハッキングキャンペーンと多くの類似点があります。

データ盗難マルウェア

政府のネットワークを攻撃するために使用されるゼロデイ

Comments