フォーティネットは、脅威行為者は、元の攻撃ベクターにパッチが適用された後でも、以前に侵害されたFortiGate VPNデバイスへの読み取り専用アクセスを維持するのに役立つポストエクスプロイトテクニックを使用していると警告しています。
今週初め、フォーティネットは、FortiGuardデバイスから受信したテレメトリに基づいて、FortiGate/FortiOSデバイスが侵害されたことを警告する電子メールを顧客に送信し始めました。
これらの電子メールのタイトルは「Notification of device compromise – FortiGate / FortiOS – ** Urgent action required **」で、TLP:AMBER+STRICTが指定されています。
「この問題は、新たな脆弱性とは関係ありません。このファイルは、既知の脆弱性(CVE-2022-42475、CVE-2023-27997、CVE-2024-21762)を悪用した脅威行為者によって残されたものです。
これらの電子メールについてフォーティネットに問い合わせたところ、同社は木曜日にこの新しい悪用テクニックについて警告するアドバイザリを発表した。同アドバイザリによると、脅威行為者は以前、古い脆弱性を利用してサーバーに侵入した際、SSL-VPNが有効になっているデバイスのルートファイルシステムへのシンボリックリンクを言語ファイルフォルダに作成したという。
これにより、発見され退去させられた後でも、一般にアクセス可能なSSL-VPNウェブパネルを通じて、ルートファイルシステムへの読み取り専用アクセスを維持することができる。
「脅威行為者は、既知の脆弱性を利用して、脆弱なFortiGateデバイスへの読み取り専用アクセスを実行しました。これは、SSL-VPN用の言語ファイルを提供するために使用されるフォルダに、ユーザーファイルシステムとルートファイルシステムを接続するシンボリックリンクを作成することで実現されました。この変更はユーザーファイルシステムで行われ、検知を回避することができました」とフォーティネットは述べています。
「そのため、顧客のデバイスが元の脆弱性に対処したFortiOSのバージョンにアップデートされたとしても、このシンボリックリンクが残されたままになっている可能性があり、脅威行為者はデバイスのファイルシステム上のファイルへの読み取り専用アクセスを維持することができます。
攻撃は2023年初頭にさかのぼる
フォーティネットはこれらの攻撃の正確な時間枠を明らかにしなかったが、同国の情報システムセキュリティ国家機関(ANSSI)の一部であるフランスのコンピュータ緊急対応チーム(CERT-FR)は木曜日、この手法が2023年初頭にさかのぼる大規模な攻撃の波に使用されていることを明らかにした。
「CERT-FRは、フランスで多数の侵害されたデバイスを含む大規模なキャンペーンを認識している。インシデント対応活動において、CERT-FRは、2023年初頭以降に発生した侵害を把握している」とCERT-FRは述べている。
本日、CISAはまた、フォーティネットの報告に関連するあらゆるインシデントや異常な活動を、24時間365日対応のオペレーションセンター(Report@cisa.gov または (888)282-0870)に報告するよう、ネットワーク防御者に助言した。
今週初めに送信された電子メールでは、フォーティネットは顧客に対し、FortiGuardファイアウォールを直ちにFortiOSの最新バージョン(7.6.2、7.4.7、7.2.11、7.0.17、6.4.16)にアップグレードし、永続化に使用された悪意のあるファイルを削除するよう助言しています。
管理者はまた、デバイスの設定を直ちに見直し、予期せぬ変更を見つけることに集中するよう促されている。このサポート文書は、侵害されたデバイス上で潜在的に公開された認証情報をリセットするためのさらなるガイダンスを提供します。
CERT-FR はまた、侵害された VPN デバイスをネットワークから隔離し、すべての秘密情報(認証情報、証明書、ID トークン、暗号キーなど)をリセットし、ネットワークの横方向の動きの証拠を探すことを推奨しています。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .
攻撃の93%を支えるMITRE ATT&CK©テクニック・トップ10
1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%を支えるMITRE ATT&CKテクニックのトップ10とその防御方法をご覧ください。
Comments