FortiOSにパストラバーサルの脆弱性 政府機関へのサイバー攻撃が観測される

Fortinetは、FortiOSにパストラバーサルの脆弱性が存在するとし、公開の数日後にその脆弱性が政府機関などを標的としたサイバー攻撃に悪用されていたことを伝えた。

[後藤大地，有限会社オングス]

　Fortinetは2023年3月7日（現地時間、以下同）、同社製品が搭載するOS「FortiOS」にパストラバーサルの脆弱（ぜいじゃく）性が存在すると伝えた。その2日後の2023年3月9日、同脆弱性を利用したサイバー攻撃が政府機関などを標的に実行されていたことが明らかになった。

FortinetはFortiOSの脆弱性を悪用したサイバー攻撃を確認した（出典：FortinetのWebサイト）

FortiOSの脆弱性　政府機関を狙ったサイバー攻撃を確認

　Fortinetは、FortiOSにパストラバーサルの脆弱性が存在するとしてセキュリティアドバイザリ「FG-IR-22-369」を公開している。同脆弱性を利用すると、特権を持ったサイバー攻撃者が、細工したCLIコマンドを使って任意ファイルの読み書きすることが可能とされている。

　同脆弱性が存在するバージョンは以下の通りだ。

• FortiOS 7.2.0から7.2.3までのバージョン
• FortiOS 7.0.0から7.0.9までのバージョン
• FortiOS 6.4.0から6.4.11までのバージョン
• FortiOS 6.2系全てのバージョン
• FortiOS 6.0系全てのバージョン

　脆弱性が修正されたバージョンは以下の通りだ。

• FortiOS 7.2.4およびこれ以降のバージョン
• FortiOS 7.0.10およびこれ以降のバージョン
• FortiOS 6.4.12およびこれ以降のバージョン

　Fortinetは、同脆弱性が政府機関を標的としたサイバー攻撃に悪用されているという分析結果を公開した。セキュリティアドバイザリを公開した時点ですでにサイバー攻撃の存在を把握して調査を実施していたものとみられる。

　Fortinetは同脆弱性を悪用したサイバー攻撃のセキュリティ侵害インジケーター（IoC）として以下の項目を挙げている。

• ログ：execute wireless-controller hs20-icon upload-icon
• ログ：User FortiManager_Access via fgfmd upload and run script
• ネットワーク：47.252.20.90
• ファイルハッシュ：Auth - b6e92149efaf78e9ce7552297505b9d5
• ファイルハッシュ：Klogd - 53a69adac914808eced2bf8155a7512d
• ファイルハッシュ：Support - 9ce2459168cf4b5af494776a70e0feda
• ファイルハッシュ：Smit - e3f342c212bb8a0a56f63490bf00ca0c
• ファイルハッシュ：Localnet - 88711ebc99e1390f1ce2f42a6de0654d
• ファイルハッシュ：Urls.py - 64bdf7a631bc76b01b985f1d46b35ea6
• ファイルハッシュ：Views.py - 3e43511c4f7f551290292394c4e21de7
• ファイルハッシュ：Fgfm - e2d2884869f48f40b32fb27cc3bdefff

　Fortinetは同脆弱性を悪用する脅威アクターの追跡を継続しており、該当製品のユーザーに対して迅速にセキュリティアドバイザリに掲載されているアクションを実行することを推奨している。