Fortinet

Fortinet は、未知の攻撃者が、先月パッチを適用した FortiOS SSL-VPN のゼロデイ脆弱性を、政府機関および政府関連の標的に対する攻撃で悪用したと述べています。

これらのインシデントで悪用されたセキュリティ上の欠陥 ( CVE-2022-42475 ) は、FortiOS SSLVPNd に見られるヒープベースのバッファ オーバーフローの脆弱性であり、認証されていない攻撃者が標的のデバイスをリモートでクラッシュさせたり、リモートでコードを実行したりすることができました。

ネットワーク セキュリティ会社は、11 月 28 日に FortiOS 7.2.3 のバグを静かに修正した後、この脆弱性を悪用する進行中の攻撃に対してアプライアンスにパッチを適用するように 12 月中旬に顧客に促しました (ゼロデイであったという情報は公開しませんでした)。

この問題は、12 月 7 日に TLP:Amber アドバイザリを通じてお客様に通知されました。 12 月 12 日に、バグが積極的に攻撃に悪用されているという警告を含む、より多くの情報が公開されました。

「フォーティネットは、この脆弱性が実際に悪用された事例を認識しています」と同社は当時述べており、管理者は、このアドバイザリで共有されている侵害の兆候のリストに照らしてシステムをすぐにチェックすることを推奨しています。

今週水曜日、フォーティネットはフォローアップ レポートを公開し、攻撃者が CVE-2022-42475 エクスプロイトを使用して FortiOS SSL-VPN アプライアンスを侵害し、IPS エンジンのトロイの木馬バージョンとして展開されたマルウェアを展開していたことを明らかにしました。

政府のネットワークを標的とするゼロデイ攻撃

同社によると、脅威アクターの攻撃は標的を絞ったものであり、分析中に見つかった証拠は政府のネットワークに焦点を当てていることを示しています。

「エクスプロイトの複雑さは、高度なアクターによるものであり、政府または政府関連の標的を高度に狙っていることを示唆しています」と Fortinet は述べています。

「発見された攻撃者による Windows サンプルは、オーストラリア、中国、ロシア、シンガポール、その他の東アジア諸国を含む UTC+8 タイムゾーンのマシンでコンパイルされたというアーティファクトを示していました。」

攻撃者は、特定のログ エントリを削除したり、必要に応じてログ プロセスを強制終了したりできるように、脆弱性を利用して FortiOS ログ プロセスにパッチを適用するマルウェアをインストールすることで、永続性を維持し、検出を回避することに重点を置いていました。

侵害されたアプライアンスにダウンロードされた追加のペイロードは、ネットワーク トラフィックを常に監視してセキュリティ違反の試みをブロックすることで脅威を検出するように設計された、侵害されたデバイスの侵入防止システム (IPS) 機能もマルウェアが破壊したことを明らかにしました。

「マルウェアはロギング プロセスにパッチを適用します。 検出を回避するためにログを操作するために FortiOS を使用しています」と Fortinet は述べています。

「マルウェアはログ ファイルを操作できます。FortiOS のイベントのログである elog ファイルを検索します。メモリ内で解凍した後、攻撃者が指定した文字列を検索して削除し、ログを再構築します。」

Fortinet は、攻撃中にさらに悪意のあるペイロードがリモート サイトからダウンロードされたが、分析のために取得できなかったと警告しました。

同社は、先月の CVE-2022-42475 エクスプロイトの背後にいる脅威アクターが、FortiOS オペレーティング システムの一部をリバース エンジニアリングする機能を含む「高度な機能」を示していると結論付けました。

また、12 月の攻撃に関連する侵害の痕跡が見つかった場合は、FortiOS のパッチを適用したバージョンにすぐにアップグレードして攻撃の試みをブロックし、フォーティネットのサポートに連絡するよう顧客に勧めています。