ゼロデイ脆弱性がFortinet FortiGateファイアウォールを標的に

サイバーセキュリティ企業のアークティックウルフは、金曜日に、脅威アクターが最近、公開インターネット上に管理インターフェースが露出したFortinet FortiGateファイアウォールデバイスを標的にした疑いのあるゼロデイキャンペーンを明らかにしました。

アークティックウルフラボの研究者によると、Fortinetファイアウォールに対する悪意のある活動は2024年11月中旬に始まりました。未知の脅威アクターは、影響を受けたファイアウォールの管理インターフェースにアクセスし、侵害された環境でDCSyncを使用して資格情報を抽出することによってファイアウォールの設定を変更しました。

「このキャンペーンは、ファイアウォールの管理インターフェースへの不正な管理ログイン、新しいアカウントの作成、これらのアカウントを通じたSSL VPN認証、その他のさまざまな設定変更を含んでいました」と、アークティックウルフのセキュリティ研究者は先週公開されたブログ投稿で述べています。

このキャンペーンで使用された初期アクセスベクターは現在不明ですが、アークティックウルフラボは、影響を受けた組織の制約されたタイムラインと影響を受けたファームウェアバージョンの範囲を考慮すると、ゼロデイ脆弱性の「大規模な悪用キャンペーン」が可能性が高いと自信を持っています。

影響を受けたファームウェアバージョンは、2024年2月および2024年10月にリリースされた7.0.14および7.0.16の範囲です。

アークティックウルフラボは、2024年11月から2024年12月の間に脆弱なFortiGateデバイスを標的にしたキャンペーンの4つの別々の攻撃フェーズを現在特定しています：

フェーズ1： 脆弱性スキャン（2024年11月16日から2024年11月23日）

フェーズ2： 偵察（2024年11月22日から2024年11月27日）

フェーズ3： SSL VPN設定（2024年12月4日から2024年12月7日）

フェーズ4： 横移動（2024年12月16日から2024年12月27日）

最初のフェーズでは、脅威アクターは脆弱性スキャンを実施し、ループバックアドレス（例：127.0.0.1）やGoogle Public DNSやCloudflareなどの人気のDNSリゾルバを含む異常なIPアドレスとの接続を持つjsconsoleセッションを利用しました。これにより、脅威ハンティングの理想的なターゲットとなりました。

偵察フェーズでは、攻撃者は複数の被害者組織で最初の不正な設定変更を行い、侵害されたファイアウォールで変更を行うためにアクセスを成功裏に取得したかどうかを確認しました。

キャンペーンの第3フェーズでは、脅威アクターは侵害されたデバイスに対してSSL VPNアクセスを確立するために大幅な変更を行いました。

一部の侵入では、新しいスーパ管理アカウントを作成し、他の侵入では既存のアカウントをハイジャックしてSSL VPNアクセスを取得しました。脅威アクターは、ユーザーアカウントが直接追加された新しいSSL VPNポータルも作成しました。

最後のフェーズでは、被害者組織の環境内でSSL VPNアクセスを成功裏に取得した後、脅威アクターはDCSync技術を使用して横移動のための資格情報を抽出しました。

サイバーセキュリティ企業によると、脅威アクターは、進行する前に影響を受けたシステムから排除されました。

アークティックウルフラボは、2024年12月12日にこのキャンペーンで観察された活動についてFortinetに通知しました。FortiGuard Labs PSIRTは、2024年12月17日に、既知の活動を認識しており、問題を積極的に調査していることを確認しました。

このような既知のセキュリティ問題から保護するために、アークティックウルフラボは、組織が直ちに公開インターフェースでのファイアウォール管理アクセスを無効にし、信頼できるユーザーへのアクセスを制限することを推奨しています。

また、既知の脆弱性から保護するために、ファイアウォールデバイスのファームウェアを最新バージョンに定期的にアップグレードすることを勧めています。