Fortinet社は、既知の脆弱性を悪用して同社UTMアプライアンス「FortiGate」を永続的に侵害する新たな攻撃手法が確認されたとして注意を呼びかけました。初期侵入経路の遮断後もアクセスを維持していたということです。
具体的には、「FortiOS」の「SSL-VPN」におけるヒープベースのバッファオーバーフローの脆弱性「CVE-2022-42475」「CVE-2023-27997」や域外メモリへの書き込み「CVE-2024-21762」など、既知の脆弱性を悪用し、機器を侵害する新たな手口が確認されたもので、攻撃者は脆弱性を悪用して、アップデートの実施により初期侵入をブロックした以降も、設定情報を含むファイルを機器より読み取りできる環境を維持していました。
新たな攻撃を確認したことを受け、同社では対象バージョンに対し、マルウェアや不正対策用の定義ファイルを更新。あわせて「SSL-VPNインタフェース」の強化など、対策を講じたファームウェアを用意しました。
今回判明した攻撃は、特定の地域や業種に限らず展開されていると説明。影響を受けた可能性のある顧客と個別に連絡を取っているようです。
本件に限らず、脆弱性に関しては公開から平均4.76日後には脅威アクターが悪用を開始しているとのデータもあると同社は指摘。デバイスを最新の状態に保つことはきわめて重要であると警鐘を鳴らし、利用者に対して最新版へ更新するよう求めました。
また同社の発表を受けて、米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)も、「FortiGate」の利用者に対して注意を呼びかけています。
利用する対象デバイスの構成を確認し、悪意あるファイルを削除して「FortiOS」を更新するよう求めるとともに、漏洩した可能性がある認証情報をリセットすることを推奨。またパッチを適用するまで、「SSL-VPN機能」を無効にするなど回避策を実施するよう呼びかけています。