TokyoBlackHatNews

cyberpress.org 4分で読了

ハッカーがネットワーク認証情報を盗むため、広範な攻撃でFortiGateファイアウォールを悪用

サイバーセキュリティ担当者は、侵害されたFortiGate次世代ファイアウォール(NGFW)に関連するネットワーク侵害の増加について警告しており、脅威アクターは脆弱性を積極的に悪用して管理者アクセスを取得し、認証情報を盗み、エンタープライズネットワーク内での長期的な永続性を確立しています。

これらのインシデントでは、攻撃者はFortinet のSingle Sign-On(SSO)メカニズムの弱点を悪用して、機密設定データを取得し、内部環境へさらに深く侵入しました。

脅威アクターは主にCVE-2025-59718CVE-2025-59719、および最近修正されたCVE-2026-24858を含む、複数のFortiGate脆弱性を悪用しています。

これらの欠陥により、未認可ユーザーは認証制御をバイパスし、脆弱なファイアウォールデバイスへの管理者レベルのアクセスを取得できます。

アクセスが取得されると、攻撃者はファイアウォールの完全な設定ファイルをダウンロードするシンプルなコマンドを実行します。

抽出された設定ファイルには、エンタープライズサービスに対して認証するために使用されるサービスアカウント認証情報を含む、重要な運用データが含まれています。

FortiOS設定ファイルは可逆的な暗号化に依存しており、これにより攻撃者は保存された認証情報を比較的簡単に復号化できます。

これにより、LDAPおよびActive Directoryサービスアカウント認証情報を含む機密認証詳細が露出し、攻撃者がドメインインフラストラクチャに直接認証できるようになります。

脆弱性の悪用に加えて、調査員は攻撃者が公開されたFortiGateデバイスをスキャンし、弱いまたはデフォルトの認証情報を使用してログインを試行しているのを観察しました。これは脆弱性の悪用とブルートフォース戦術の組み合わせを示しています。

セキュリティ研究者は、FortiGateデバイスの初期侵害に続く2つの別々の侵入キャンペーンを特定しました。

2025年後半から2026年2月にかけて活動していた最初のキャンペーンでは、攻撃者は侵害されたファイアウォール上に「support」という名前の悪意のあるローカル管理者アカウントを作成しました。

盗まれたLDAPサービスアカウント認証情報を使用して、攻撃者はデフォルトのActive Directory設定を活用して、2つの不正なワークステーションをドメインに参加させました。

これらの攻撃者制御マシンをネットワーク内に登録することで、脅威アクターは外部システムに通常適用されるセキュリティ制限を回避しながら、拡大されたアクセスを取得しました。

侵害されたマシンは、その後ネットワーク偵察と認証情報攻撃を実行するために使用されました。

調査員は、攻撃者がSoftPerfect Network Scannerを使用して大規模なパスワードスプレーとネットワーク列挙を実行し、追加のターゲットと弱いアカウントを特定しているのを観察しました。

2026年1月に観察された2番目のインシデントは、より積極的な搾取後パスを辿りました。攻撃者は「ssl-admin」という名前の別の悪意のあるファイアウォールアカウントを作成し、ドメイン管理者アカウントを侵害することで権限を迅速にエスカレートしました。

数分以内に、攻撃者は侵害された環境への遠隔アクセスを維持するために、PulsewayおよびMeshAgentを含む正当なRemote Monitoring and Management(RMM)ツールを展開しました。

検出を回避するために、悪意のあるペイロードはJavaソフトウェアアップデートに偽装されました。攻撃者はGoogle Cloud StorageおよびAmazon Web Services S3バケットなどの信頼できるクラウドサービス上にこれらのペイロードをホストし、アクティビティを通常のネットワークトラフィックと混在させることができました。

攻撃者は最終的にVolume Shadow Copyバックアップを使用して、NTDS.ditデータベース(すべてのActive Directory認証情報とシークレットを含む中核リポジトリ)を抽出しました。

さらに、Windowsレジストリ値は、インストールされた遠隔管理ツールの存在を隠すために変更されました。

調査員は、多くのインシデントにおける反復的な要因として、不十分なログ保持慣行を強調しました。いくつかのケースでは、セキュリティチームが元の侵害を特定できる前に、ファイアウォールログが上書きされていました。

セキュリティ専門家は、複数の防御措置を推奨しています:

エッジデバイス全体の可視性とログ保持を改善すると、攻撃者の滞在時間を大幅に短縮し、より迅速なインシデント検出が可能になります。

FortiGateデバイスを使用する組織は、ファイアウォール設定を確認し、認証アクティビティを監視し、同様の侵入を防ぐために脆弱なシステムに直ちにパッチを適用することを強く推奨されています。

翻訳元: https://cyberpress.org/fortigate-firewalls-exploited/

ソース: cyberpress.org
#Active Directory #FortiGate #Fortinet #インシデント対応 #サイバー攻撃 #ネットワーク侵害 #ファイアウォール #権限エスカレーション #脆弱性悪用 #認証情報盗難

関連記事

ロシア、政府高官のスマートフォンに外国製スパイウェアを発見

Claude Code GitHub Actionsの脆弱性によりリポジトリ侵害が可能に

KMW CCTVの深刻な脆弱性、未認証でのカメラアクセスを可能に