Arctic Wolfは、世界中のFortiGateファイアウォールを標的とする自動化された悪意ある活動を追跡しています。
脅威アクターは、以前に公開されたSSOの脆弱性を悪用して不正アクセスを獲得し、永続的なバックドアアカウントを作成し、認証情報やネットワークトポロジーの詳細を含む機密性の高いファイアウォール設定を流出させています。
このキャンペーンでは、攻撃者がFortiCloud SSOのバイパスを通じて不正な管理者アカウントを確立し、その後、ファイアウォール設定を外部サーバーへ自動的に抽出します。
悪意あるログインは[email protected]のような汎用サービスアカウントを狙い、その後、迅速な設定ダウンロードと永続化アカウントの作成が続きます。これらはすべて数秒以内に発生しており、完全に自動化された悪用インフラを示しています。
この活動は、Arctic Wolfが記録した2025年12月のキャンペーンと一致しており、脅威アクターが未パッチ適用、または不適切に防御された環境に対して同じCVE脆弱性を引き続き悪用していることを示唆します。
Fortinetは12月上旬に、2件の重大な認証バイパス欠陥に関するアドバイザリを公開しました。
両脆弱性は、FortiCloud SSOが有効になっている場合、FortiOS、FortiWeb、FortiProxy、FortiSwitchManagerに影響します。
Arctic Wolf confirmed は、これらのCVEに対して提供されたパッチが現在の脅威活動に十分に対処できていない可能性があることを確認しており、攻撃者が手法を適応させた、または追加の侵入経路を発見したことを示唆しています。
攻撃者は、特定のホスティングプロバイダーから発信される悪意あるSSOログインを介して認証し、その後、GUIインターフェースを通じてファイアウォール設定全体をダウンロードする自動コマンドを実行します。
二次的な永続化アカウント(secadmin、itadmin、support、backup、remoteadmin、audit)は、初期侵害の直後に作成され、長期的なアクセスに利用されます。
ログ分析により、設定の流出は認証に使用されたものと同一の送信元IPアドレスに対して行われ、すべての活動が数秒以内に実行されていることが明らかになっており、高度な自動化と偵察能力を示しています。
FortiGateの導入環境を管理する組織は、以下を実施すべきです:
Arctic Wolfはこの活動の監視を継続しており、追加の技術的詳細が判明次第、更新情報を提供する予定です。
翻訳元: https://cyberpress.org/fortigate-firewalls-targeted/