攻撃者は、FortiOSおよびFortiProxyの新たな認証バイパスのゼロデイ脆弱性を悪用して、フォーティネットのファイアウォールを乗っ取り、企業ネットワークに侵入しています。
このセキュリティ上の欠陥(CVE-2024-55591として追跡)は、FortiOS 7.0.0~7.0.16、FortiProxy 7.0.0~7.0.19、およびFortiProxy 7.2.0~7.2.12に影響します。悪用に成功すると、リモートの攻撃者は、Node.jsウェブソケットモジュールに悪意のあるリクエストを行うことで、スーパー管理者権限を取得できます。
フォーティネットによると、このゼロデイを悪用する攻撃者は、侵害されたデバイス上にランダムに生成された管理者ユーザーやローカルユーザーを作成し、既存のSSL VPNユーザーグループや新たに追加したユーザーグループに追加しているとのことです。
また、ファイアウォールポリシーやその他の設定を追加または変更したり、以前に作成した不正なアカウントを使用してSSLVPNにログインし、”内部ネットワークへのトンネルを取得する “ことも確認されている。
同社はこのキャンペーンに関する追加情報を提供していないが、サイバーセキュリティ企業のArctic Wolfは、一致する侵害の指標(IOC)を記載したレポートを金曜日に発表し、インターネットに公開された管理インターフェイスを持つFortinet FortiGateファイアウォールが11月中旬から攻撃を受けているとしている。
「このキャンペーンには、ファイアウォールの管理インターフェイスへの不正な管理者ログイン、新しいアカウントの作成、それらのアカウントを介したSSL VPN認証、およびその他のさまざまな設定変更が含まれていた」とArctic Wolf Labsは述べている。
「最初のアクセス経路は確定的ではないが、ゼロデイ脆弱性の可能性が高い。組織は早急に、パブリックインターフェース上のファイアウォール管理アクセスを無効にする必要がある。
また、フォーティネットは本日のアドバイザリで、管理者に対し、回避策としてHTTP/HTTPS管理インターフェイスを無効にするか、ローカルインポリシーで管理インターフェイスにアクセスできるIPアドレスを制限するよう助言している。
Arctic Wolfはまた、このCVE-2024-55591集団エクスプロイトキャンペーンのタイムラインも提供しており、4つのフェーズが含まれると述べています:
- 脆弱性スキャン(2024年11月16日から2024年11月23日)
- 偵察(2024年11月22日から2024年11月27日)
- SSL VPNの設定(2024年12月4日から2024年12月7日)
- 横移動(2024年12月16日から2024年12月27日)
「このキャンペーンで使用された最初のアクセス・ベクターはまだ確認されていませんが、Arctic Wolf Labsは、影響を受けたファームウェアのバージョンだけでなく、影響を受けた組織全体で圧縮されたタイムラインを考えると、ゼロデイ脆弱性の大量悪用の可能性が高いと高い確信を持って評価しています」とサイバーセキュリティ企業は付け加えています。
「しかし、jsconsole の使用は全体的に共通していました。
フォーティネットと Arctic Wolf は、ほぼ同じ IOC を共有し、デバイスが標的にされたかどうかを判断するために、以下のエントリのログを調べることができると述べています。
脆弱性を利用してログインした後、ログにはランダムなソースIPと宛先IPが表示されます:
type="event" subtype="system" level="information" vd="root" logdesc="管理者ログイン成功" sn="1733486785" user="admin" ui="jsconsole" method="jsconsole" srcip=1.1.1.1 dstip=1.1.1.1 action="login" status="success" reason="none" profile="super_admin" msg="管理者adminがjsconsoleからログイン成功"
脅威行為者が管理者ユーザーを作成した後、ランダムに生成されたユーザー名とソースIPアドレスと思われるログが生成されます:
type="event" subtype="system" level="information" vd="root" logdesc="Object attribute configured" user="admin" ui="jsconsole(127.0.0.1)" action="Add" cfgtid=1411317760 cfgpath="system.admin" cfgobj="vOcep" cfgattr="password[*]accprofile[super_admin]vdom[root]" msg="Add system.admin vOcep"
また、セキュリティ企業は、攻撃者が一般的に以下のIPアドレスを攻撃に使用していると警告している:
1.1.1.1 127.0.0.1 2.2.2.2 8.8.8.8 8.8.4.4
Arctic Wolfによると、2024年12月12日にこの攻撃についてフォーティネットに通知し、2024年12月17日にFortiGuard Labs PSIRTから、この活動が知られており、すでに調査中であるとの確認を得たという。
本日、フォーティネットは、ハードコードされた暗号鍵の重大な脆弱性(CVE-2023-37936)に対するセキュリティパッチもリリースしました。この脆弱性により、キーを持つリモートの認証されていない攻撃者が、細工された暗号リクエストを経由して不正なコードを実行できるようになります。
12月、Volexityは、中国のハッカーが「DeepData」と呼ばれるカスタムポストエクスプロイトツールキットを使用して、フォーティネットのFortiClient Windows VPNクライアントのゼロデイ脆弱性(CVE IDなし)を悪用し、認証情報を盗んだことを報告しました。
その2カ月前、Mandiantは、「FortiJump」と名付けられたFortinet FortiManagerの欠陥(CVE-2024-47575として追跡されている)がゼロデイとして悪用され、6月以降、50台以上のサーバに侵入していたことを明らかにしました。
Comments