Fortinet

攻撃者は、CVE-2022-39952 を標的とするエクスプロイトを使用して、インターネットに公開された Fortinet アプライアンスを標的にしています。CVE-2022-39952 は、リモート コマンド実行に悪用される可能性がある FortiNAC Web サーバーの認証されていないファイル パス操作の脆弱性です。

これらの攻撃は、Horizon3 のセキュリティ研究者が、侵害されたシステムで root ユーザーとしてリバース シェルを開始するための cron ジョブを追加する重大な重大度の欠陥に対する概念実証のエクスプロイト コードをリリースした翌日に発生しました。

Fortinet は木曜日にセキュリティ アドバイザリでこの脆弱性を明らかにし、このバグは FortiNAC ネットワーク アクセス コントロール ソリューションの複数のバージョンに影響を与え、悪用に成功した攻撃者は不正なコードやコマンドを実行できると述べました。

同社はセキュリティ更新プログラムをリリースし、脆弱なアプライアンスを脆弱性に対処する最新の利用可能なバージョンにアップグレードするよう顧客に促しました.

フォーティネットは軽減策のガイダンスや回避策を提供していないため、更新が攻撃の試みを阻止する唯一の方法です。

Horizon3 攻撃チーム FortinNAC のツイート

火曜日に Shadowserver Foundation のセキュリティ研究者によって最初に発見されたように、攻撃者は CVE-2022-39952 エクスプロイトを使用して、パッチが適用されていない FortiNAC アプライアンスを標的にし始めています。

Shadowserver の Piotr Kijewski 氏は、次のように述べています。

彼らの調査結果は、複数の IP アドレスからの CVE-2022-39952 攻撃を確認した後、水曜日にサイバーセキュリティ企業GreyNoiseCronUpの研究者によって確認されました。

CronUp のセキュリティ研究者である Germán Fernández 氏は、レポートの中で、「CVE-2022-39952 の脆弱性を介して Fortinet FortiNAC デバイスが大規模に悪用されていることを観察している」ことを明らかにしました。

「この脆弱性は、サイバーセキュリティのエコシステムにおいて重要かつ重要です。最初の例では、企業ネットワークへの初期アクセスを許可する可能性があるからです」と Fernández 氏は述べています。

これらの継続的な攻撃の分析中に観察された悪意のあるアクティビティは、Horizon3 の PoC エクスプロイト機能と一致しており、CronUp は、攻撃者がコーン ジョブを使用して攻撃者の IP アドレスに対してリバース シェルを開くことを確認しています。

CVE-2022-39952 エクスプロイト ペイロード
CVE-2022-39952 エクスプロイト ペイロード (CronUp)

12 月、フォーティネットは、脆弱なデバイスでの認証されていないリモート コード実行を可能にする、活発に悪用されているセキュリティ バグ (CVE-2022-42475) に対して、FortiOS SSL-VPN アプライアンスにパッチを適用するよう顧客に警告しました

同社が後に明らかにしたように、この脆弱性は、政府機関や政府関連の標的に対する攻撃のゼロデイとしても悪用されました。

同社は 2 か月前に、実際に悪用されている重要な FortiOS、FortiProxy、および FortiSwitchManager の認証バイパスの脆弱性 (CVE-2022-40684) に緊急にパッチを適用するよう管理者に要請しました