Fortinet(フォーティーネット)は、同社のネットワーク管理製品 FortiManager に新たに発見された重大な脆弱性(CVE-2024-47575)が、ゼロデイ攻撃に悪用されていると警告しました。この攻撃はGoogle傘下のMandiantが発表しており、攻撃の痕跡は2024年6月27日から確認されています。
攻撃概要
脅威アクター:UNC5820
- 初期攻撃の目的:UNC5820は、FortiManagerによって管理されている FortiGateデバイス の構成情報を盗み出しました。
- 盗まれたデータの内容:
- FortiGateデバイスの詳細な構成情報
- ユーザー情報とFortiOS256ハッシュパスワード
最初に観測された攻撃
- 攻撃はIPアドレス 45.32.41[.]202 から始まり、攻撃者は未許可のFortiManager-VMを公開されたFortiManagerサーバーに登録しました。
- 登録されたデバイスは「localhost」という名前でリストされ、シリアル番号は「FMG-VMTM23017412」でした。
- 攻撃により生成されたファイル:
- /tmp/.tm:FortiGateとFortiManagerの構成情報を含むgzipアーカイブ。
- /fds/data/unreg_devices.txt:登録解除されたデバイスのシリアル番号とIPアドレス。
- /fds/data/subs.dat.tmp:詳細不明のファイル。
- /fds/data/subs.dat:攻撃者の制御するデバイスの情報(シリアル番号、ユーザーID、会社名、電子メールアドレス)。
- 攻撃に関連する企業と連絡先情報:
- 会社名:「Purity Supreme」
- 電子メール:「0qsc137p@justdefinition.com」
FortiManagerからの横方向移動(ラテラルムーブメント)
- UNC5820は、盗み出したデータを活用して、FortiManager上の他のFortinetデバイスに対する攻撃の準備を進めています。
- ただし、Mandiantの調査では、攻撃者が構成データを利用してさらに企業環境を侵害したという証拠は見つかっていません。
推奨される緩和策
Fortinetは、以下の措置を直ちに講じることを推奨しています:
- FortiManager管理ポータルへのアクセスを内部IPに制限する。
- 許可されたFortiGateデバイスのみがFortiManagerと通信できるよう設定する。
- 不明なFortiGateデバイスをFortiManagerに登録しない。
- フォレンジック調査の実施:FortiManagerがインターネットに公開されている場合、直ちに調査を行う。
緩和策の提供バージョン
- 7.2.5、7.0.12、7.4.3以降で有効な対策が適用されています。
- 7.6.0では、現時点で完全な回避策は提供されていません。
まとめ
FortiManagerの脆弱性(CVE-2024-47575)は、UNC5820によるゼロデイ攻撃に悪用されています。Fortinet製品を利用する組織は、迅速に脆弱性への対応策を講じるとともに、フォレンジック調査を実施する必要があります。FortiManagerの管理を徹底することで、攻撃の横方向移動によるさらなる被害を防ぐことが重要です。
Mandiantは、調査結果の更新を公式ブログで随時提供する予定です。
