大規模なサイバースパイキャンペーンが、世界中の数万台にのぼるFortinetファイアウォールおよびVPNゲートウェイに密かに侵入し、重要インフラ、多国籍企業、政府機関を深刻なネットワーク侵害にさらしています。
この攻撃はセキュリティ研究者のVolodymyr「Bob」Diachenko氏が当初発見し、その後Hudson Rockが詳細を分析しました。現在「FortiBleed」と命名されたこの作戦は、企業ネットワーク境界に対する自動化された認証情報攻撃として、これまでに記録された中でも最大規模のものの一つとなっています。
このキャンペーンの規模は圧倒的です。攻撃者は194か国にわたる73,932件の固有ファイアウォールURLを標的とし、結果として21,632件の固有ドメインが影響を受けました。
攻撃者は320,000台超のFortiGateを対象に約11億6,000万回の認証情報ベースの試行を実行し、さらに160,000台超のMSSQLサーバーに対して21億回以上のブルートフォース攻撃を仕掛けました。
Diachenko氏の調査によると、この作戦は産業規模の自動化とインフラを駆使して活動する、複数のオペレーターからなるロシア語圏のサイバー犯罪グループによるものとされています。グループの手口は体系的かつ極めて効果的です。
攻撃者は単一のゼロデイ脆弱性に頼るのではなく、インターネット上に公開されたFortinetのインスタンスを広範囲にスキャンし、過去に流出した大量の認証情報リポジトリと照合するという「大規模クレデンシャルスタッフィング」と呼ばれる手法を用いました。
初期アクセスを確立した後、攻撃者はアクティブなセッションからSSL VPN認証ハッシュを傍受し、Hashtopolisフレームワークで管理された専用の45GPU クラスターを使ってクラッキングしました。
境界を突破した後、攻撃者は組織内部のActive Directory環境に直接侵入し、永続的かつ特権的な足がかりを築きました。これにより、不正なネットワーク制御が自己強化的なサイクルを形成しています。
確認された被害組織は、グローバル経済のほぼあらゆるセクターに及んでいます。侵害が確認された組織には、Foxconn、Samsung、Comcast、Siemens、Lenovo、PwC、Accenture、Oracleなどの大手多国籍企業のほか、数千の政府機関や重要インフラプロバイダーが含まれています。
現実の被害もすでに顕在化しています。Diachenko氏は、日本、台湾、ベトナム、イラク、トルコの複数の組織でネットワークへの完全な侵害が発生したことを確認しました。
特に深刻なのは、トルコのNATO関連防衛請負業者が侵害を受け、機密防衛文書がグループによって窃取されたと報告されている点です。
流出したデータセットから判明した最も衝撃的な事実の一つは、非常に複雑なパスワードが高い確率で突破されているという点です。これは「パスワードが複雑であれば安全」というIT セキュリティの基本的な前提に正面から疑問を投げかけるものです。
Hudson Rockは、インフォスティーラー型マルウェア、デバイスレベルのエクスプロイト、あるいは過去に流出したデータベースなどを通じて認証情報が平文で取得されてしまった場合、パスワードの複雑さは完全に無意味になると指摘しています。
記号・数字・大文字小文字を組み合わせた20文字のパスワードも、攻撃者の認証情報リポジトリにすでに存在していれば、追加の防御効果はゼロです。
認証情報の監視やローテーションを伴わない厳格な複雑性ポリシーは、見せかけの安心感を与えるに過ぎません。
Fortinet VPNゲートウェイを運用している組織は、以下の対策を直ちに実施してください。
翻訳元: https://cyberpress.org/fortibleed-compromises-fortinet-firewalls/
