TokyoBlackHatNews

darkreading.com 4分で読了

Fortinetのファイアウォールが悪意ある設定変更の被害に

3分で読めます

"Firewall Breach"と表示されたデジタルスクリーン

出典:Skorzewiak / Alamy Stock Photo

脅威アクターが過去1週間にわたり、シングルサインオン(SSO)ログインを通じてFortinetのファイアウォールを侵害しており、以前に開示され緩和された認証バイパス脆弱性が十分にパッチ適用されていなかった可能性が浮上している。

Arctic Wolf Labsの研究者は、1月15日にSSOログインと、FortiGateデバイスに対する不正な設定変更を伴う悪意ある活動が始まったことを確認した。Arctic Wolf Labsは水曜日のブログ投稿で、デバイスにログインした後、正体不明の脅威アクターが汎用アカウントを作成し、それらのアカウントにVPNアクセス権を付与し、さらにファイアウォールの設定を持ち出したと記している。 

研究者が自動化されていた可能性があるとみるこの活動は、Fortinetの重大な脆弱性2件(CVE-2025-59718およびCVE-2025-59719)の開示後、Arctic Wolfが12月に記録した脅威キャンペーンと類似している。

Fortinetはこの2つの欠陥に対するパッチを公開したが、攻撃者がFortiCloudのSSOログイン認証を回避できるCVE-2025-59718は、その月の後半に実環境で悪用された。米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、12月のArctic Wolfによる初期報告の数日後に、この欠陥を既知の悪用済み脆弱性(KEV)カタログに追加した。 

この悪意ある活動は、CVE-2025-59718に対してパッチ適用済みのFortiGateデバイスで悪意あるSSOログインが発生したという、今週のユーザーによる未確認報告と一致している。ここ数日、r/Fortinetサブレディットの複数のユーザーが、修正済みのFortiOSバージョンに更新していたファイアウォールが侵害されたと報告しており、パッチが脆弱性を完全には緩和していないのではないかという懸念が高まっている。

Arctic Wolf Labsはブログ投稿で、「現時点では、今回観測された最新の脅威活動が、当初CVE-2025-59718およびCVE-2025-59719に対処したパッチで完全にカバーされているかどうかは不明だ」と警告した。

同研究チームはDark Readingに対し、パッチ回避が悪用されたかどうかを判断できなかったと述べている。「完全にパッチ適用されたデバイスが最新の脅威活動のクラスターの影響を受けたという独立した報告は把握しているが、そうであると断定的に確認することはできない」とArctic Wolf Labsは言う。

Dark ReadingはFortinetにコメントを求めたが、締め切り時点で同社からの回答はなかった。

Fortinetファイアウォールに対する自動化攻撃の可能性

Arctic Wolf Labsによれば、脅威アクターがSSOを通じてデバイスへのアクセスを得た後、複数アカウントの作成から設定データの持ち出しに至る追加の悪意ある活動が迅速に実行された。 

ブログ投稿によると、「侵害されたファイアウォールアカウントでの後続活動は数秒間隔で発生しており、自動化された活動の可能性を示している」という。

Arctic Wolf Labsは、この悪意ある活動のクラスターが複数の地域で短時間のうちに展開されたと述べている。ただし、研究チームは、このキャンペーンの実行にAIが使用されたことを示す具体的な兆候はないとしている。 

設定データは少数のIPアドレスへ持ち出された。自衛策として、研究チームはFortinetの顧客に対し、ファイアウォールおよびVPNの管理インターフェースへのアクセスを信頼できる社内ネットワークに制限するよう促した。 

デバイス上で悪意あるログインが検知された場合、管理者はハッシュ化されたファイアウォールの認証情報が侵害されたと想定し、直ちにそれらの認証情報をリセットすべきだ。Arctic Wolf Labsの研究者は、脅威アクターがハッシュをオフラインで解読することが知られており、特に辞書攻撃に脆弱な弱い認証情報が狙われやすいと述べた。

「このキャンペーンで説明した脅威活動には悪意あるSSOログインが含まれることを踏まえると、CVE-2025-59718およびCVE-2025-59719に対してFortinetが提示した以下の回避策を検討する価値があるかもしれない」と彼らは書き、顧客に対してデバイス上のFortiCloud SSOログイン機能を一時的に無効化するよう促した。

悪意あるSSOログインは、今年Fortinetの顧客が直面している最新の脅威だ。先週は、FortiSIEMプラットフォームに影響する重大な脆弱性CVE-2025-64155実環境で悪用された。 

翻訳元: https://www.darkreading.com/cloud-security/fortinet-firewalls-malicious-configuration-changes

ソース: darkreading.com
#CISA KEVカタログ #CVE-2025-59718 #CVE-2025-59719 #FortiGate #Fortinet #SSO(シングルサインオン) #ファイアウォール #不正な設定変更 #設定データの流出(エクスフィルトレーション) #認証バイパス脆弱性

関連記事

Zoom CISO Sandra McLeod:AIはセキュリティの「役割代替者」ではなく「実現者」

FBIが警告したフィッシングキット「Kali365」、標的範囲をさらに拡大

DriveSurge:数千サイトを乗っ取り、ClickFixとFakeUpdate攻撃を展開