Fortinet

FortiJump」と名付けられ、CVE-2024-47575として追跡されているFortinet FortiManagerの新たな欠陥が、2024年6月以降、50台以上のサーバに対するゼロデイ攻撃で悪用されていることが、Mandiantの新しいレポートで明らかになりました。

過去10日間、フォーティネットが高度な通知セキュリティアドバイザリで顧客に非公開で通知した後、FortiManagerのゼロデイが積極的に悪用されているという噂がオンライン上で広まっていました。

本日、フォーティネットはついにFortiManagerの脆弱性を公表し、フォーティネットが作成した「FortiGate to FortiManager Protocol」(FGFM)APIに認証の不備があり、認証を受けていない攻撃者がサーバおよび管理対象のFortiGateデバイス上でコマンドを実行できる状態になっているとしています。

攻撃者は、有効な証明書を持つ攻撃者が管理するFortiManagerおよびFortiGateデバイスを利用して、公開されている任意のFortiManagerサーバに自身を登録することで、この欠陥を悪用することができました。

いったんデバイスが接続されると、たとえそれが不正な状態であったとしても、この欠陥を悪用してFortiManager上でAPIコマンドを実行し、管理対象デバイスに関する設定データを盗むことができます。

フォーティネットは、CVE-2024-47575に対するパッチをリリースし、特定のIPアドレスにのみ接続を許可したり、set fgfm-deny-unknown enableコマンドを使用して不明なFortiGateデバイスの登録を防ぐなどの緩和策を提供しています。

6月以降、ゼロデイとして悪用される

今夜、Mandiantは、UNC5820として追跡されている脅威アクターが、2024年6月27日という早い時期からFortiManagerデバイスを悪用していたと報告しています。

「UNC5820は、悪用されたFortiManagerが管理するFortiGateデバイスの設定データをステージングし、流出させました。

「このデータには、管理対象アプライアンスの詳細な設定情報だけでなく、ユーザーとそのFortiOS256ハッシュ化されたパスワードが含まれています。

「このデータは、UNC5820がFortiManagerをさらに侵害し、管理対象のフォーティネットデバイスに移動し、最終的に企業環境を標的にするために使用される可能性があります。

最初に観測された攻撃は、45.32.41[.]202からのもので、脅威アクターが未承認のFortiManager-VMを公開されたFortiManagerサーバに登録した際に確認されました。

このデバイスは、以下のように「localhost」という名前でリストされ、「FMG-VMTM23017412」というシリアル番号が使用されていました。

Attacker-controlled FortiManager-VM
攻撃者が管理する FortiManager-VM
ソースはこちら:Mandiant

攻撃の一環として、Mandiantによると、4つのファイルが作成された:

  • /tmp/.tm– 管理対象のFortiGateデバイス、FortiManagerサーバに関する情報、およびグローバルデータベースに関する流出した情報を含むgzipアーカイブ。
  • /fds/data/unreg_devices.txt– 未登録デバイスのシリアル番号とIPアドレスが含まれます。
  • /fds/data/subs.dat.tmp– 不明。
  • /fds/data/subs.dat– このファイルには、攻撃者が管理するデバイスのシリアル番号、ユーザーID、会社名、電子メールアドレスが含まれています。

最初に確認された攻撃では、電子メールアドレスは “0qsc137p@justdefinition.com”、会社名は “Purity Supreme “でした。

Mandiant社は、侵害されたデバイスのメモリを分析したが、悪意のあるペイロードやシステムファイルの改ざんの兆候は見つからなかったと述べている。

攻撃者はデバイスからデータを流出させましたが、Mandiant社によると、UNC5820がこの機密情報を利用して、管理下のFortiGateデバイスに横展開したり、ネットワークを侵害したりした形跡はないとのことです。

現時点では、MandiantとFortinetが顧客に攻撃を通知したため、盗まれたデータは攻撃者にとってそれほど価値のあるものではないかもしれません。顧客が認証情報を変更し、その他の予防措置を講じたことを祈ります。

最初の攻撃の後、フォローアップ活動がなかったため、Mandiantは、脅威行為者の目標や居場所を特定できていません。

「その結果、公表時点では、攻撃者の動機や所在を評価するのに十分なデータが不足しています。私たちの調査を通じて追加情報が入手可能になり次第、Mandiantはこのブログのアトリビューション評価を更新します」とMandiantは説明しています。

フォーティネットは、CVE-2024-47575(FG-IR-24-423)アドバイザリで、緩和策や復旧方法などの追加情報を共有しました。このアドバイザリには、攻撃者が使用した他のIPアドレスや、侵害されたFortiManagerサーバーを検出するためのログエントリなど、追加のIOCも含まれています。