Fortinetは、FortiSandboxに存在する脆弱性を公表しました。この脆弱性を悪用すると、認証を受けていない攻撃者が、マルウェアスキャンに使用される仮想マシン上で稼働するVNC(Virtual Network Computing)サーバーへアクセスできる可能性があります。
FG-IR-26-145として追跡されているこの脆弱性はCWE-668(誤った領域へのリソース公開)に分類されており、内部スキャン基盤とネットワーク公開コンポーネントとの間の分離が不十分であることに起因します。
FortiSandboxは、疑わしいファイルを隔離された環境で起動・解析するために仮想マシンを利用しており、これはサンドボックス機能の中核をなす仕組みです。
Fortinetのアドバイザリによると、細工されたネットワークリクエストにより、これらのスキャン用VM上のVNCサーバーが、有効な認証情報やアプライアンスとの認証済みセッションを持たない攻撃者にさらされる可能性があります。
VNCはリモートデスクトップ形式のアクセスを提供するため、不正な公開が発生すると、攻撃者が解析中のサンドボックス環境を観察したり、操作したりできてしまう恐れがあります。
Fortinetは概念実証(PoC)による悪用の具体的な詳細を明らかにしていませんが、根本的な問題は、サンドボックスの内部スキャンサブシステムと外部から到達可能なインターフェースとの間のネットワークセグメンテーションが不十分であることを示しています。
詳細なアーキテクチャに関する解説、正式な対策の進め方、製品調整に関する情報は、FortiGuard PSIRTのアドバイザリに直接記載されています。
この脆弱性は、FortiSandboxの展開ブランチにおける特定のファームウェアリリースに加え、スタンドアロンのハードウェアアプライアンスシステムにも影響を及ぼします。
Fortinetは、この問題が2つのハードウェアアプライアンスモデル、FSA-500GとFSA-1500Gに影響することを確認しています。FortiSandbox-as-a-Service(PaaS)の展開環境は影響を受けないため、クラウドホスティングを利用する顧客が是正措置を講じる必要はありません。
Fortinetのアドバイザリでは、明確なパッチ適用のタイムラインが示されています。脆弱性のある5.0.xまたは4.4.xブランチを稼働している組織は、直ちに5.0.3以降または4.4.9以降へ移行する必要があります。サンドボックスは本質的に信頼できない悪意あるペイロードを処理するものであるため、分離境界に少しでも不備があれば、そのリスクは著しく大きくなります。
攻撃者がスキャン用VM上のVNCサービスに到達できてしまうと、脅威解析の結果に干渉したり、他の内部資産への足がかりとして悪用したりする可能性があります。アプリケーションの境界を評価することは、最新のAPIセキュリティテストツールを用いたコードパイプラインの監査と同様、構造的な境界防御における基本的な要素です。
これらの環境を管理する防御担当者には、直ちに以下の緩和策を講じることが推奨されています。
隔離されたスキャン境界の保護を怠ると、意図せず企業全体の環境が悪意ある侵入にさらされる恐れがあります。これは、本番ネットワーク全体で未修正の重大なセキュリティ脆弱性が残ることに対する、より広範な企業の懸念とも通じるものです。
Fortinetは、標準的な協調的開示プロトコルに則り、この脆弱性を発見し責任を持って報告したINPSのセキュリティチームに謝意を示しています。
翻訳元: https://cyberpress.org/fortisandbox-vnc-server-vulnerability/