フォーティネットは、脆弱なFortiWebウェブアプリケーションファイアウォール(WAF)を搭載したサーバを攻撃者に完全に制御されてしまうコマンドインジェクションの脆弱性に対処するセキュリティアップデートをリリースしました。
この脆弱性はRapid7の研究者であるWilliam Vu氏によって発見されたもので、まだCVE IDは付与されていませんが、Fortinet FortiWebのバージョン6.3.11以前に影響があります
この脆弱性を利用すると、攻撃者はSAMLサーバの設定ページを介して、システムのrootユーザとして任意のコマンドを実行することができます。
この脆弱性を悪用するためには、攻撃者は対象となるFortiWebデバイスの管理インターフェイスにログインする必要がありますが、今年初めに修正された認証バイパスのCVE-2020-29015など、他の脆弱性と容易に連携させて乗っ取ることができます。
Rapid7は
攻撃者は、この脆弱性を利用して脆弱性があるデバイスを高い権限で完全に制御することができます
またこの脆弱性を利用して、該当のデバイスを最高の権限で完全に制御し、永続的アクセスの構築や暗号採掘ソフトウェアをインストールしたり、侵害されたプラットフォームを使用して、DMZを超えてさらに深いネットワークに侵入したりすることができます。
この攻撃から守るために、管理者は信頼できないネットワーク(インターネットなど)からFortiWebデバイスの管理インターフェースへのアクセスをブロックすることを推奨しています。
情報開示のタイムライン
2021年6月:Rapid7社のWilliam Vu氏により問題が発見され、検証される。
2021年6月10日(木):PSIRTコンタクトフォームを介してベンダーに最初の情報開示を行う。
2021年6月11日(金) :ベンダーによる確認 (チケット 132097)
2021年8月11日(水) :ベンダーとのフォローアップ
2021年8月17日(火):公表
Fortinetアプライアンスは攻撃者にとって魅力的なターゲットとなっている
攻撃者や国家が支援するハッカーは、長年にわたりパッチが適用されていないFortinetのアプライアンスを頻繁に標的としてきました。
例えば、彼らはFortinetのSSL VPNの脆弱性CVE-2018-13379を悪用して、インターネットに公開された米国の選挙支援システムを侵害しており、フォーティネットはユーザに対し、2019年8月、2020年7月、2020年11月、2021年4月に再びこの脆弱性にパッチを当てるよう警告しています。
2020年11月には、ある攻撃者が政府機関や銀行を含む約50,000台のフォーティネットVPNサーバーのVPN認証情報を盗むために使用された可能性のある、1行のCVE-2018-13379エクスプロイトのリストを共有しました。
2021年初め、フォーティネットは同社の複数の製品に影響を与える複数の脆弱性を修正し、修正された問題にはFortiProxy SSL VPNおよびFortiWeb Web Application Firewall(WAF)製品におけるリモートコード実行(RCE)、SQLインジェクション、サービス拒否(DoS)の脆弱性が含まれます。
4月にはFBIとCISAが、国家ぐるみのハッキンググループがFortiOSの脆弱性CVE-2018-13379、CVE-2020-12812、CVE-2019-5591を悪用してフォーティネットのアプライアンスにアクセスしていることを発見。警告しました。
また、カスペルスキーは、フォーティネットのVPNがCring(別名:Crypt3r、Vjiszy1lo、Ghost、Phantom)と呼ばれる新しいランサムウェアに悪用され、産業部門の企業のネットワークに侵入してシステムを暗号化していることを明らかにしました。
Comments