フォーティネットは、先週パッチが適用されたFortiOS SSL VPNの重大な脆弱性が、政府、製造業、重要インフラ組織に影響を与える攻撃に「悪用された可能性がある」と述べた。
この欠陥 ( CVE-2023-27997 / FG-IR-23-097として追跡) は、FortiOS および FortiProxy SSL-VPN のヒープベースのバッファ オーバーフローの弱点であり、認証されていない攻撃者が悪意を持って作成されたリクエストを介してリモート コード実行 (RCE) を取得できる可能性があります。 。
CVE-2023-27997 は、CVE-2022-42475 FortiOS SSL-VPN ゼロデイを悪用した政府機関に対する最近の一連の攻撃を受けて、SSL-VPN モジュールのコード監査中に発見されました。
金曜日、フォーティネットは脆弱性に対処するためのセキュリティアップデートをリリースし、その後本日追加の詳細を公開しました。
同社が重大な脆弱性を公開する前にパッチをプッシュし、脅威アクターがデバイスをリバースエンジニアリングしてエクスプロイトを作成する前に顧客にデバイスを保護する時間を与えたのはこれが初めてではない。
「当社の調査により、ある問題(FG-IR-23-097)が限られた数のケースで悪用された可能性があることが判明し、当社は顧客と緊密に連携して状況を監視している」とフォーティネットは月曜日に発表したレポートで述べた。
「このため、お客様が SSL-VPN を有効にしている場合、フォーティネットはお客様に対し、最新のファームウェア リリースにアップグレードするための措置を直ちに講じるようアドバイスしています。
「お客様が SSL-VPN を運用していない場合、この問題のリスクは軽減されますが、フォーティネットは引き続きアップグレードをお勧めします。」
ボルト・タイフーンの接続
フォーティネットは、最近明らかになった米国全土の重要インフラ組織を標的としたボルト・タイフーン攻撃との関連性については触れていないが、中国のサイバースパイ集団がCVE-2023-27997の欠陥も標的にする可能性について言及した。
「現時点では、FG-IR-23-097 をボルト タイフーン キャンペーンに関連付けていませんが、フォーティネットは、ボルト タイフーン キャンペーンの背後にいる者を含むすべての脅威アクターが、広く使用されているソフトウェアやデバイスのパッチが適用されていない脆弱性を悪用し続けると予想しています。」と会社は言いました。
「このため、フォーティネットは、積極的なパッチ適用キャンペーンを通じて、即時かつ継続的な緩和策を講じることを強く求めています。」
Volt タイフーンは、未知のゼロデイ脆弱性を介してインターネットに公開されているフォーティネット FortiGuard デバイスをハッキングし、幅広い重要な分野の組織のネットワークにアクセスすることで知られています。
また、脅威アクターは、複数のベンダーの侵害されたルーター、ファイアウォール、VPN アプライアンスを使用して、悪意のあるアクティビティを正規のネットワーク トラフィックに確実に混入させることで検出を回避します。
フォーティネットは本日、初期アクセスに関して、FortiOS / FortiProxy / FortiSwitchManager デバイスの認証バイパス脆弱性であるCVE-2022-40684に対するパッチが適用されていないデバイスを主にターゲットにしていると発表しました。
ただし、前述したように、脅威アクターは新たな脆弱性が公開されると悪用を開始すると予想されます。
Comments