Fortinet

フォーティネットは本日、FortiManager APIにCVE-2024-47575として追跡されている重大な脆弱性が存在することを公表しました。この脆弱性は、ゼロデイ攻撃で悪用され、管理対象デバイスの設定、IPアドレス、認証情報を含む機密ファイルを窃取されるというものです。

同社は10月13日から、FortiManagerの顧客に対し、セキュリティアップデートがリリースされるまでの間、この欠陥を緩和するための手順を記載した事前通知メールで、この欠陥について非公開で警告していた。

しかし、この脆弱性のニュースは、Reddit上の顧客や、この欠陥を “FortiJump “と呼ぶサイバーセキュリティ研究者Kevin Beaumont氏によって、Mastodon上で週を通してオンラインに流出し始めた。

フォーティネットのデバイス管理者も、この欠陥がしばらくの間悪用されていたことを共有しており、ある顧客は、顧客に通知が送られる数週間前に攻撃を受けたと報告している。

「私たちは、この欠陥が “事前通知 “になる数週間前に侵入されました。

FortiManagerのゼロデイを公開

本日、フォーティネットは、CVE-2024-47575として追跡され、深刻度が10段階中9.8と評価された、アクティブに悪用されるFortiManagerの重大な欠陥を公開しました。

「FortinetのFG-IR-24-423セキュリティアドバイザリは、「FortiManager fgfmdデーモンにおける重要な機能に対する認証の欠落の脆弱性[CWE-306]により、リモートの認証されていない攻撃者が、特別に細工されたリクエストを経由して任意のコードまたはコマンドを実行できる可能性があります。

フォーティネットのFG-IR-24-423セキュリティアドバイザリには、「この脆弱性を悪用した攻撃が報告されている」と書かれている。

この攻撃に詳しい情報筋によると、このアドバイザリにはバグを悪用するための重要な情報が欠けているとのことです。脅威行為者はまず、FortiManager VMを含む、所有または侵害されたフォーティネットのデバイスから有効な証明書を抽出する必要があります。

この欠陥は、以下のFortiManagerバージョンに影響します:

バージョン 影響を受けるバージョン 対象バージョン
FortiManager 7.6 7.6.0 7.6.1以上へのアップグレード
FortiManager 7.4 7.4.0から7.4.4まで 7.4.5以上へのアップグレード
FortiManager 7.2 7.2.0から7.2.7まで 7.2.8以上へのアップグレード
FortiManager 7.0 7.0.0から7.0.12まで 7.0.13以上にアップグレード
FortiManager 6.4 6.4.0から6.4.14まで 6.4.15以上にアップグレード
FortiManager 6.2 6.2.0から6.2.12まで 6.2.13以上にアップグレード
FortiManager Cloud 7.6 影響なし 対象外
FortiManager Cloud 7.4 7.4.1から7.4.4まで 7.4.5以上にアップグレードしてください。
FortiManager クラウド 7.2 7.2.1から7.2.7まで 7.2.8以上にアップグレード
FortiManager クラウド 7.0 7.0.1から7.0.12まで 7.0.13以上にアップグレード
FortiManager Cloud 6.4 6.4 全バージョン 固定リリースへの移行

現時点では、FortiManagerのバージョン7.2.8と7.4.5のみがリリースされていますが、残りのバージョンも近日中にリリースされるとのことです。

フォーティネットは、企業がFortiGateファイアウォールデバイスを簡単に導入し、リモートのFortiManagerサーバーに登録できるようにするため、“FortiGate to FortiManager Protocol“(FGFM)を作成しました。

「FortiGate to FortiManager(FGFM)プロトコルは、FortiGateとFortiManagerの導入シナリオ、特にNATを使用する場 合向けに設計されています。

「このようなシナリオには、FortiManagerが公衆インターネット上にあり、FortiGateユニットがNATの背後にある場合、FortiGateユニットが公衆インターネット上にあり、FortiManagerがNATの背後にある場合、またはFortiManagerとFortiGateユニットの両方がルーティング可能なIPアドレスを持つ場合などがあります。

サイバーセキュリティ研究者のKevin Beaumont氏が指摘するように、攻撃者が有効な証明書を取得している限り、FortiGateデバイスを露出したFortiManagerサーバに接続することは難しくありません。

この証明書は、FortiGateとFortiManagerサーバ間にSSLトンネルを設定し、両デバイスを認証するために使用されます。しかし、この脆弱性に詳しい情報筋によると、脆弱性はこの部分には存在しないとのことです。

その代わりに、FortiManager FGFM APIを経由してコマンドを実行するには、追加レベルの認証が必要であり、CVE-2024-47575の欠陥を使用してこれをバイパスすることができます。このAPIの認証バイパスは、FortiManagerの最新バージョンで修正されています。

このAPIにより、攻撃者はコマンドを実行し、情報を取得し、管理対象デバイスとFortiManagerを完全に制御して、企業ネットワークへのさらなるアクセスを得ることができます。

「MSP(マネージド・サービス・プロバイダー)はFortiManagerを使用することが多いため、これを使用して下流の内部ネットワークに侵入することができます」とボーモント氏は警告しています。

「FGFMの設計方法(NATトラバーサル状況)により、管理対象のFortiGateファイアウォールにアクセスすると、管理対象のFortiManagerデバイスまでトラバースすることができ、さらに他のファイアウォールやネットワークに戻ることも可能です。

フォーティネットは、現時点で最新のファームウェアアップデートをインストールできない場合に、 この攻撃を軽減するためのさまざまな方法を提供しています:

  • set fgfm-deny-unknown enable コマンドを使用して、シリアル番号が不明なデバイスが FortiManager に登録されないようにします。
  • SSLトンネルを作成し、FortiManagerでFortiGateデバイスを認証する際に使用するカスタム証明書を作成します。

    ただし、脅威行為者がこの証明書を取得できた場合でも、FortiGateデバイスの接続に使用され、欠陥を悪用される可能性があることをフォーティネットは警告しています。

  • 接続を許可するFortiGateデバイスのIPアドレスの許可リストを作成します。

これらの緩和策を実行し、侵害されたサーバを復元する方法については、フォーティネットのアドバイザリに記載されています。

データを盗むために悪用される

フォーティネットによると、今回確認された攻撃は、FortiManagerサーバから「管理対象デバイスのIP、認証情報、および設定を含む」さまざまなファイルを盗むために使用されました。

この盗まれた情報は、企業ネットワークまたはMSPのダウンストリームクライアントへの初期アクセスを得るために、FortiGateデバイスについて学習し、ターゲットにするために使用することができます。

また同社は、侵害されたFortiManagerサービスにマルウェアがインストールされた形跡や、管理対象FortiGateデバイスの構成が変更された形跡がないことも確認しています。

「現段階では、これらの侵害されたFortiManagerシステム上にマルウェアやバックドアなどの低レベルのシステムがインストールされたという報告は受けていません」とフォーティネットはセキュリティアドバイザリで述べています。

「私たちの知る限りでは、データベースの変更、管理対象デバイスへの接続や変更の兆候はありません」とフォーティネットはセキュリティ勧告で述べています。

フォーティネットは、今回の攻撃を特定の脅威行為者に起因するものとは断定しておらず、現在調査中のため、影響を受けた顧客の数や種類に関する情報は一切共有していません。

しかし、フォーティネットは、セキュリティ専門家やネットワーク管理者がこの脆弱性を使用してFortiManagerサーバーが侵害されたかどうかを検出するのに役立つ以下のIOCを共有しています。

観測された攻撃は、脅威行為者が攻撃者が制御するFortiGateデバイスを「localhost」という名前で接続していることを示しており、Fortimanagerの「Unregistered Devices」セクションに表示されます。

ログエントリは、脅威行為者がAPIコマンドを発行して、これらの未登録の「localhost」デバイスを追加したことを示します:

type=event,subtype=dvm,pri=information,desc="Device,manager,generic,information,log",user="device,...",msg="Unregistered device localhost add succeeded" device="localhost" adom="FortiManager" session_id=0 operation="Add device" performed_on="localhost" changes="Unregistered device localhost add succeeded"

Fortinetが共有する別のログエントリは、デバイス設定の編集に使用されました:

type=event,subtype=dvm,pri=notice,desc="Device,Manager,dvm,log,at,notice,level",user="System",userfrom="",msg=""adom="root" session_id=0 opera,on="Modify device" performed_on="localhost" changes="Edited device settings (SN FMG-VMTM23017412)"

フォーティネットによると、不正なFortiGateデバイスは、FortiGate-VM仮想マシンで使用される形式と思われるシリアル番号FMG-VMTM23017412を使用していることが確認されています。

その他のIOCには、/tmp/.tmおよび/var/tmp/.tmファイルの作成が含まれます。

攻撃では以下のIPアドレスが観測されており、いずれもクラウドホスティング会社Vultrに所在しています:

  • 45.32.41.202
  • 104.238.141.143(最近SuperShell C2インフラをホスティングしているのが確認された)
  • 158.247.199.37
  • 45.32.63.2

SuperShell C2フレームワークは、最近、F5 BIG-IPルータへの攻撃で利用されており、その攻撃は、UNC5174として知られる中国(PRC)の脅威アクターに中程度の信頼性で起因しています。

フォーティネットは、すべての IOC が悪用されたデバイスに存在するとは限らないと警告しています。

Beaumont氏は、Shodanの検索によると、FGFMポート(TCPポート531)がオンラインで公開されているFortiManagerデバイスが59,534台あり、その大半が米国にあることを警告しています。

Shodan map of exposed FortiManager servers
公開されている FortiManager サーバの Shodan マップ

非公開の情報公開がフラストレーションにつながる

フォーティネットは、CVE-2024-47575の欠陥と、それが顧客に開示された経緯について、次のような声明を発表しました。

「この脆弱性(CVE-2024-47575)を特定した後、フォーティネットは速やかに重要な情報とリソースをお客様にお知らせしました。これは、脅威行為者を含むより多くの人々にアドバイザリが公開される前に、お客様がセキュリティ態勢を強化できるようにするための、責任ある情報開示に関する当社のプロセスとベストプラクティスに沿ったものです。また、回避策やパッチのアップデートを含む緩和策に関するガイダンスを、対応するパブリック・アドバイザリ(FG-IR-24-423)として再度公開しました。お客様には、提供されたガイダンスに従って回避策と修正プログラムを実施し、引き続きアドバイザリページの更新を追跡していただくようお願いいたします。私たちは、継続的な対応の一環として、適切な国際政府機関や業界の脅威組織との調整を続けています。”

❖ フォーティネット

しかし、フォーティネットの顧客からは、脆弱性の公表方法について不満の声が上がっており、一部のFortiManagerの顧客は事前通知を受け取らず、ゼロデイ脆弱性を知るためにリーク情報に頼らざるを得ませんでした。

「非公開公開の電子メールリストに登録するにはどうすればよいですか?私は7.2.7を持っていますが、これについて聞いていません」とFortiManagerの顧客はRedditでコメントした。

というコメントがRedditに寄せられた。届いていない場合は、フォーティネットまたはそのリセラーに連絡し、正しい連絡先情報を確認してください。

また、プライベートアドバイザリにはFortiManager Cloudがゼロデイによる影響を受けるとは記載されていなかったにもかかわらず、フォーティネットのTACに電話したところ、影響を受けると言われたことに不満を感じている人もいました。

フォーティネットが重大な脆弱性にパッチを当てたり、顧客に非公開で開示したりするのは、この欠陥が初めてではありません。

2022年12月、フォーティネットは、CVE-2022-42475として追跡されている、アクティブに悪用されるFortiOS SSL-VPNの脆弱性に、その欠陥が攻撃に使用されたことを公表することなく、静かにパッチを適用しました。このFortiManagerの欠陥と同様に、フォーティネットは12月7日に非公開のTLP:Amberアドバイザリを発行し、このバグを顧客に警告しました。

2023年6月、フォーティネットは再び、CVE-2023-27997として追跡されているFortiGate SSL-VPNのリモートコード実行の重大な脆弱性に、6月8日に静かにパッチを適用しました。その4日後の6月11日、同社はこの欠陥が政府機関、製造業、重要インフラに対するゼロデイ攻撃に使用されたことを公表しました。

フォーティネットの透明性の欠如を指摘する声もあり、”セキュリティコミュニティは、敵対勢力との戦いを集団で進めるために、組織の透明性と情報共有を正常化しなければならない “と述べたフォーティネットの2023年10月の投稿を想起させる。

更新 10/23/24: 影響を受けるバージョンを更新し、脆弱性に関する詳細情報を追加しました。