Fortinetは、同社のFortiManagerネットワーク管理ソリューションに影響する重大なゼロデイ脆弱性が、実際に悪用されていることを確認した。
サイバーセキュリティプロバイダーは10月23日のセキュリティアドバイザリで、CVE-2024-47575に関する追加情報を公開した。この脆弱性により、脅威アクターは侵害されたFortiManagerデバイスを用いて、他のFortiManagerデバイスに対し任意のコードまたはコマンドを実行できる。
共通脆弱性評価システム(CVSS)スコア9.8のこの脆弱性は、FortiManagerのfgfmdデーモンにおける重要機能の認証欠如(CWE-306)に起因する。これにより、リモートの未認証攻撃者が、特別に細工したリクエストを介して任意のコードまたはコマンドを実行できる。
Fortinetによると、以下のFortiManagerインスタンスがCVE-2024-47575の影響を受ける:
- FortiManager 7.6.0
- FortiManager 7.4.0~7.4.4
- FortiManager 7.2.0~7.2.7
- FortiManager 7.0.0~7.0.12
- FortiManager 6.4.0~6.4.14
- FortiManager 6.2.0~6.2.12
- FortiManager Cloud 7.4.1~7.4.4
- FortiManager Cloud 7.2(全バージョン)
- FortiManager Cloud 7.0(全バージョン)
- FortiManager Cloud 6.4(全バージョン)
Fortinetは、FortiManagerの顧客は通常のパッチサイクルを待たず、緊急対応としてサポート対象の修正版へ更新すべきだと述べた。一部のバージョン向けには回避策も用意されている。
Kevin BeaumontやMandiantの研究者を含む複数のセキュリティ研究者が、このゼロデイ脆弱性が実際に悪用されていると報告した。
米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、この脆弱性を既知の悪用済み脆弱性(KEV)カタログに追加した。
続きを読む:開示のその先へ――脆弱性データを実行可能なセキュリティへ変換する
Fortinetの対応の遅さに注目集まる
FortiManagerの脆弱性に関する噂は、10月中旬にフォーラムやソーシャルメディアで広まり始めた。
特に、公開されているRedditのやり取りでは、Fortinetが10月15日頃に一部顧客へメールで連絡し、FortiManagerの脆弱性を「非公開で開示」して緩和策を助言したことが示唆された。
10月22日、セキュリティ研究者のKevin Beaumontはブログ投稿で、国家支援のアクターが、彼が「FortiJump」と呼ぶこのFortiManagerゼロデイ脆弱性を諜報攻撃に利用したと主張した。
彼によれば、インターネット上には約6万件のFortiManagerインスタンスが露出しており、そのうち1万3200件超が米国にあるという。
またBeaumontは、ブログ投稿を公開した時点で、当該脆弱性がメーカーにより確認されておらず、CVE番号も割り当てられていなかったとして、Fortinetの対応不足を批判した。
続きを読む:ソフトウェア脆弱性の開示・報告・パッチ適用の方法
彼は次のように書いている。「脆弱性を公に開示しないことで顧客を守っているというFortinetの説明が、顧客を守っているとは思えない。この脆弱性はしばらく前から広範に悪用されている」。「透明性がないことは、誰も守らない……おそらく自分たちと、恥をかきたくない政府を除いては」
MandiantによるFortiJump悪用分析
Mandiantは新たなレポートで、さまざまな業界における、侵害の可能性がある50台超のFortiManagerデバイスにまたがるFortiManagerアプライアンスの大規模悪用について、Fortinetと協力して調査していると述べた。
「Mandiantは、現在UNC5820として追跡している新たな脅威クラスターが、2024年6月27日の時点でFortiManagerの脆弱性を悪用していたことを観測した」とMandiantの研究者は記している。
UNC5820は、悪用されたFortiManagerで管理されているFortiGateデバイスの設定データをステージングし、持ち出した。このデータには、管理対象アプライアンスの詳細な設定情報に加え、ユーザーおよびFortiOS256でハッシュ化されたパスワードが含まれている。
「このデータは、UNC5820がFortiManagerをさらに侵害し、管理下のFortinetデバイスへ横展開し、最終的に企業環境を標的にするために利用され得る」とMandiantは続けた。
ただし同脅威インテリジェンス企業は、UNC5820が国家支援の脅威アクターであるか、また拠点がどこかを確認するのに十分なデータがないと述べた。
「FortiManagerがインターネットに露出している可能性のある組織は、直ちにフォレンジック調査を実施すべきだ」とMandiantは結論づけた。
10月上旬、CISAは、実際の悪用の証拠に基づき、FortinetのFortiOS、FortiPAM、FortiProxy、FortiWebに影響する別の重大な欠陥(CVE-2024-23113、CVSSスコア:9.8)もKEVカタログに追加している。
Infosecurityから取材を受けたFortinetの広報担当者は、同社のコミュニケーション時期に関する批判について次のように回答した。「CVE-2024-47575の脆弱性を特定した後、Fortinetは顧客に対し重要な情報とリソースを迅速に伝達しました。これは、脅威アクターを含むより広い層に向けてアドバイザリが公表される前に、顧客がセキュリティ態勢を強化できるようにする、責任ある開示のための当社のプロセスおよびベストプラクティスに沿ったものです」
「また、回避策およびパッチ更新を含む緩和ガイダンスを改めて示す、対応する公開アドバイザリ(FG-IR-24-423)も公開しました。お客様には、提示されたガイダンスに従って回避策と修正を実装し、更新情報については当社の advisory ページを継続的に確認していただくよう強く推奨します。当社は継続的な対応の一環として、適切な国際的な政府機関および業界の脅威関連組織と引き続き連携しています」
この記事は10月25日に更新され、Fortinetの回答を追記しました。
写真提供: Sundry Photography/JHVEPhoto/Shutterstock
翻訳元: https://www.infosecurity-magazine.com/news/fortinet-exploitation-fortimanager/
