新たなハッキンググループが、15,000台以上のFortiGateデバイスの設定ファイル、IPアドレス、VPN認証情報をダークウェブ上に無料で流出させ、他のサイバー犯罪者に大量の機密技術情報を暴露した。
このデータを流出させたのは、今月ソーシャルメディアやサイバー犯罪フォーラムに登場した新しいハッキング・グループ「Belsen Group」です。Belsen Groupは、自分たちを宣伝するためにTorウェブサイトを作成し、そこでFortiGateのデータダンプを無料で公開し、他の脅威行為者に利用させている。
「年頭にあたり、私たちにとって前向きなスタートとして、また私たちのグループの名前を皆さんの記憶に定着させるために、私たちの最初の公式活動を発表できることを誇りに思います:ハッキングされ、データが抽出された世界中の15,000以上のターゲット(政府機関および民間企業)の機密データを公開する予定である。

ソースは こちら:
FortiGateの漏えいは、国別に並べられたフォルダを含む1.6GBのアーカイブで構成されています。各フォルダには、その国の各 FortiGate の IP アドレスのサブフォルダがさらに含まれています。

ソース:ボーモント
サイバーセキュリティの専門家であるKevin Beaumont氏によると、各IPアドレスにはconfiguration.conf(Fortigateのコンフィグダンプ)とvpn-passwords.txtファイルがあり、パスワードの一部はプレーンテキストで記述されている。コンフィグには、秘密鍵やファイアウォールルールなどの機密情報も含まれています。
FortiGateの流出に関するブログ投稿でBeaumont氏は、この流出は、修正プログラムがリリースされる前に攻撃に悪用された、CVE-2022-40684として追跡されている2022年のゼロデイに関連していると考えられると述べている。
「ある被害者の組織で、あるデバイスのインシデントレスポンスを行ったところ、デバイス上の痕跡から、確かにCVE-2022-40684が悪用されていました。また、ダンプに表示されたユーザー名とパスワードが、デバイス上の詳細情報と一致していることも確認できました」とボーモント氏は説明する。
「このデータは2022年10月にゼロデイバルンとして作成されたようだ。どういうわけか、コンフィグのデータダンプが、2年以上たった今日公開されたのです」。
2022年、フォーティネットは、脅威アクターがCVE-2022-40684として追跡されているゼロデイを悪用して、標的のFortiGateデバイスからコンフィグファイルをダウンロードし、「fortigate-tech-support」という悪意のあるsuper_adminアカウントを追加していると警告しました。

ソースはこちら:フォーティネット
ドイツのニュースサイトHeiseは、このデータリークを分析し、また、2022年に収集され、すべてのデバイスがFortiOSファームウェア7.0.0-7.0.6または7.2.0-7.2.2を利用していたと述べている。
「すべてのデバイスはFortiOS 7.0.0-7.0.6または7.2.0-7.2.2を搭載しており、ほとんどのデバイスはバージョン7.2.0でした。2022年10月3日にリリースされたバージョン7.2.2より新しいFortiOSのバージョンは、データの山からは見つかりませんでした」とHeise氏は報告した。
しかし、FortiOS 7.2.2ではCVE-2022-40684の欠陥が修正されているため、同バージョンを実行しているデバイスがどのようにこの脆弱性を悪用できるかは不明です。
これらの設定ファイルが2022年に収集されたとはいえ、ネットワークの防御に関する多くの機密情報が暴露されることに変わりはないとBeaumont氏は警告している。
これには、ファイアウォールのルールや認証情報が含まれ、その時点で変更されていなかったとしても、データがより広範な脅威行為者に公開された今、直ちに変更する必要がある。
Beaumont氏は、FortiGateの管理者が流出による影響を知ることができるように、流出したIPアドレスのリストを公開する予定であると述べています。
2021年には、脅威行為者がCVE-2018-13379脆弱性を利用して収集したフォーティネットのVPN認証情報約50万件を流出させました。
また、このリークについて、脅威アクターとフォーティネットの双方に問い合わせを行い、回答があれば記事を更新する予定です。
Comments