TokyoBlackHatNews

bleepingcomputer.com 5分で読了

FortiBleedリーク後、CISAがFortinetユーザーにデバイス保護を警告

米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、「FortiBleed」と呼ばれるデータ漏洩事件によってファイアウォールおよびVPNの認証情報が約74,000件流出したことを受け、Fortinetの顧客に対してデバイスを保護するよう呼びかけました。

この警告は、脅威アクターが漏洩した認証情報を悪用し、世界中の政府機関および民間組織においてインターネットからアクセス可能なFortinetデバイスを標的にしたことを受けたものです。

「悪意のあるサイバー攻撃者が漏洩した認証情報を用いて、世界中の政府機関および民間企業のインターネット接続可能なFortinetデバイスを標的にしているとのグローバルな報告をCISAは把握しています」と同庁は述べています。「『FortiBleed』と呼ばれるこの活動では、ファイアウォールやVPN(仮想プライベートネットワーク)ゲートウェイを含む約74,000台のFortinetデバイスに関連する認証情報が漏洩・流出しています。」

同庁は、影響を受けるFortiGateアプライアンスの所有者に対し、すべてのSSL VPNおよび管理セッションを終了させ、VPNおよび管理者パスワードをすべてリセットし、フィッシング耐性のある多要素認証を有効化し、不正アクセスやラテラルムーブメントの痕跡がないかログを確認するよう求めました。

CISAはさらに、Fortinetの顧客に対し、管理者認証情報を最新のPassword-Based Key Derivation Function 2(PBKDF2)ハッシュアルゴリズムで保存すること、ファイアウォールの管理インターフェースへのパブリックインターネットからのアクセスを制限すること、そして不正なアカウントを削除して攻撃対象領域を可能な限り最小化するよう助言しました。

7万3千台超のファイアウォール認証情報が流出

FortiBleedのデータ漏洩は、セキュリティ研究者のVolodymyr “Bob” Diachenkoによって発見されました。同氏は、世界中の73,932件のファイアウォールURLに関するユーザー名、メールアドレス、平文パスワードを含む、有効と思われるFortinet VPN認証情報が格納されたサーバーを発見しました

流出したデータには各組織の業種、売上高、従業員数も含まれており、Diachenkoは将来の攻撃計画を支援する目的でまとめられたものとみられると述べています。

データセットを独自に分析した脅威インテリジェンス企業Hudson Rockは、これを21,632のユニークドメインと194カ国に及ぶ、既知の中でも最大規模のFortinetの侵害認証情報コレクションの一つと評しています。

データセットに含まれる組織には、Samsung、Mercedes-Benz、Foxconn、Chevron、Comcast、AT&T、Toyotaなどが名を連ねており、通信・医療・金融サービス・製造業などのセクターにおける多数の政府機関や重要インフラ事業者も対象となっています。

被害デバイス数が最も多かった国は、インド、米国、台湾、メキシコ、トルコ、タイ、コロンビア、マレーシア、チリ、アラブ首長国連邦でした。

Image

ロシア語話者の脅威グループとの関連が浮上

Diachenkoはまた、この活動がロシア語話者の脅威グループによって実行されたと述べており、同グループは32万台以上のFortiGateターゲットに対して約11億6,000万回の認証試行を行い、SSL VPN認証ハッシュを傍受したとされています。設定データの入手経路については依然として不明です。

サイバーセキュリティの専門家Kevin Beaumontも、一部の認証情報の正当性を独自に確認しており、影響を受けたデバイスのほとんどがいまだオンライン状態にあると指摘しています。

「データは本物です。約75,000台のデバイスが対象で、ほぼすべてがいまだオンラインのFortinetデバイスです。最近のデータとみられます」とBeaumontは述べており、流出したデータはFortinet設定ファイルに由来するとみられると付け加えました。

ただし、データの入手経路は依然として不明であり、既知のFortinet脆弱性の悪用によるものか、新たに発見されたセキュリティ上の欠陥によるものか、あるいは別の手口によるものかは判明していません。

Hudson Rockはまた、組織が自社の被害を確認できる無料のFortiBleedルックアップツールを作成しました。

月曜日には、脅威インテリジェンス企業Defusedが、Fortinetのサイバー脅威検知プラットフォームであるFortiSandboxに存在する複数の重大な脆弱性が実際の攻撃で悪用され始めていると報告しました。CISAが追跡しているFortinetのセキュリティ上の欠陥は合計26件に上り、近年野放し状態で悪用されており、そのうち13件はランサムウェア攻撃に利用されています。

攻撃者より先に、すべての層をテストする

セキュリティチームが記録できる攻撃成功件数は54%、アラートを発するのはわずか14%です。残りは環境内を検知されることなく侵入・移動しています。

Picusのホワイトペーパーでは、侵害・攻撃シミュレーションがSIEMおよびEDRルールをテストし、脅威が検知をすり抜けないようにする方法を紹介しています。

ホワイトペーパーを入手する

翻訳元: https://www.bleepingcomputer.com/news/security/cisa-warns-fortinet-users-to-secure-devices-after-fortibleed-leak/

ソース: bleepingcomputer.com
#CISA #FortiBleed #FortiGate #Fortinet #VPN脆弱性 #サイバー攻撃 #ランサムウェア #多要素認証 #脅威インテリジェンス #認証情報漏洩

関連記事

GentlemanランサムウェアがEDRキラーを複数駆使してセキュリティ防御を無効化

WebMD子会社へのサイバー攻撃でデータ窃取、任天堂が認める

USBワームがWindowsショートカットファイル経由で暗号通貨窃取マルウェアを拡散