脅威アクターがFortiGateの認証情報を大規模に収集、194カ国の組織がネットワークへの長期的な侵害リスクにさらされていると研究者が警告
「FortiBleed」と名付けられた大規模な認証情報侵害キャンペーンが、世界中の数万台のFortinetデバイスを危険にさらしていることが明らかになりました。研究者は、影響を受けた企業環境に攻撃者が継続的にアクセスできる状態にあると警告しています。
このキャンペーンを最初に発見したのは、セキュリティ研究者のVolodymyr Diachenkoです。同氏は「さまざまな手段で収集された」、有効とみられるFortiGateのパスワードリストを攻撃者が管理するサーバー上で発見したことをLinkedInに投稿しました。
その後、SOCRadarのチームが独自調査で別の稼働中サーバーを発見し、詳細が明らかになりました。そのサーバーには、名前不明の脅威アクターが管理する盗難済みFortiGateパスワードのリスト、攻撃ツール、自動化インフラ、被害者リスト、さらに攻撃者の手がかりとなる情報が含まれていました。
「帰属分析は現在進行中ですが、作戦上の痕跡は明確です」とSOCRadarの研究者はブログ記事で述べています。使用されているツールや攻撃対象の選定パターンは、ロシア語話者の脅威アクターと一致するとも指摘しています。
SOCRadar、Hudson Rock、セキュリティ研究者のKevin Beaumont氏による独自分析によると、脅威アクターはインターネットに公開されているFortinet FortiGateファイアウォールから設定ファイルを組織的に収集し、管理者の有効な認証情報を復元したとされています。なお、初期アクセスの手段は現時点で不明です。
watchTowrのCEOであるBenjamin Harris氏は、このキャンペーンが最近自身が観察してきたものと一致すると述べています。「現代の脆弱性悪用において不都合な真実とは、即座に影響を与えることが目的とは限らないということです。根本的な脆弱性が修正されたずっと後も価値を持ち続けるデータを収集することが目的なのです」と同氏は語っています。
同氏はさらに、こうした認証情報は、外部に公開されているFortinetの重要なアプリケーションに存在する多数の脆弱性を長期にわたって悪用することで蓄積されてきた可能性が高いと指摘しています。
Fortinetは、CSOからのコメント要請に対して即時の回答を行いませんでした。
解読されたパスワードとその世界的な広がり
SOCRadarは当初、このデータセットには30,791台以上のデバイスに対する有効なログイン認証情報が含まれていると報告していました。しかし、Beaumont氏とHudson Rockによるさらなる分析の結果、影響を受けたデバイスの台数は75,000台に達し、Shodan上で確認できるインターネット公開中のFortinetファイアウォール全体の約50%に相当することが明らかになりました。
研究者らは、194カ国・21,000以上のドメインにまたがる影響を確認しています。
このデータセットには、侵害された設定ファイルから復元された管理者認証情報およびSSL VPN認証情報が混在していると報告されています。研究者らによると、今回の作戦は高度に自動化されており、脅威アクターは認証情報の収集・処理・解読を非常に大規模に実行できる状態にあるとのことです。
SOCRadarの調査では、最も被害を受けた国はインド、米国、メキシコで、3カ国合わせて約12,000件近くの認証情報が侵害されていることが判明しました。認証情報の種別内訳を見ると、組織固有の認証情報が最も多く標的にされており、企業を狙った攻撃であることが示されています。
影響の深刻さについて、Beaumont氏は脅威アクターが「リモートからファイアウォールにログインし、ネットワークへのリモートアクセスを取得できる」と説明しています。さらに、セキュリティ制御を含む設定を変更したり、バックドアユーザーを作成したりすることも可能だと付け加えています。
古いハッシュ、新たな問題
キャンペーンのさらなる調査から、一部のFortinetの展開環境がなぜほかよりも解読されやすかったのかが明らかになりました。
研究者らによると、影響を受けたシステムの多くが、管理者認証情報を保存する際に古いハッシュ方式を使用していたことが判明しました。この古い方式は、最新の実装と比べてオフラインのパスワード解読攻撃に対する耐性が大幅に低いとされています。
「Fortinetは、FortiOS 7.2.11、7.4.8、7.6.1において、管理者認証情報向けにPBKDF2ベースのパスワードハッシュを導入し、従来のSHA-256ベースのストレージ機構を置き換えました」とArctic Wolfの研究者はブログ記事で説明しています。「しかし、以前のバージョンからアップグレードした場合、既存の管理者パスワードは、アップグレード後に該当する管理者が実際にログインするまで、SHA-256ハッシュのまま保存され続けます。」
研究者らはこの点について、多くの組織が依然として古いSHA-256+ソルトのハッシュ方式で管理者認証情報を保存し続けている可能性があると指摘しています。
防御側に求められる対応:認証情報漏洩を前提とした行動
研究者らは、公開されたFortiGate設定ファイルに含まれる認証情報はすでに侵害されたものとみなし、影響を受けた管理者・VPNのパスワードを直ちにローテーションするよう組織に強く求めています。
さらなる推奨事項として、多要素認証(MFA)の強制適用、管理インターフェースへのインターネットアクセスの制限、不正アクセスの痕跡を確認するためのデバイス監査なども挙げられています。
サポート対象のFortiOSバージョンへのアップグレードと、脆弱なパスワードや使い回しパスワードの変更も推奨されています。「FortiOSのアップグレード後、すべての管理者に少なくとも1回ファイアウォールへのログインを求めてください。これにより、暗号化方式が自動的にPBKDF2に更新されます」と研究者らは述べています。
また、super_adminアカウントを使用して管理者パスワードを手動で更新することも可能だと指摘しています。
