ネットワーク機器ベンダーのFortinetは、サイバー犯罪者集団が87,000台以上のFortiGate SSL-VPNデバイスのアクセス認証情報を集めていることをユーザに通知しました。
「これは2019年5月に解決された古い脆弱性に関連しており、ランサムウェアグループのウェブサイトで公開された」と、ブログ記事で述べています。
これらの認証情報は、攻撃者がインターネットからスキャンしFG-IR-18-384 / CVE-2018-13379に対してパッチが適用されていないシステムから取得されたものとのことです。
このリストは1年以上前にまとめられたもので、ランサムウェア攻撃を行うグループなど、さまざまな攻撃者が集まるサークルで販売されていたということで、フォーティネットの認証情報を入手し、それがまだ有効であるかどうかを確認することはCFAA違反となるため違法ですが、サンプルから認証情報をテストした2人のセキュリティ研究者を見つけることができたとのことです。
この研究者たちによると、約22,500のフォーティネットVPNに属する502,677件の認証情報のうち大部分(スキャンによって80%から90%の差がある)はもう機能していないか、ログイン画面が2要素認証システムによって保護されていたとのことです。
これにより、87,000件がまだアクティブに攻撃対象であることがわかります。
一方でフォーティネットはSSL-VPNデバイスを使用している企業に対し、2019年5月にリリースされたCVE-2018-13379のパッチを適用し、パッチをインストールした後にすべてのデバイスアカウントのパスワードをローテーションすることを推奨しています。
ダークウェブに流出した小規模なサンプルの一部として共有された22,500台のFortinet SSL-VPNデバイスのIPアドレスのリストは、認証情報を取り除いた状態でGitHubで公開されており、Fortinetデバイスの所有者は自分のシステムがこのリークに含まれているかどうかをテストすることができます。
Comments