Fortinet製品の脆弱性を悪用する脅威アクター「Volt Typhoon」の実態:Cybersecurity Dive
Fortinetは、FortiOSおよびFortiProxyの「SSL-VPN」機能におけるヒープベースのバッファオーバーフローの脆弱性を悪用することで、サイバー攻撃者がデバイスを制御できる可能性があると警告した。
この記事は会員限定です。会員登録すると全てご覧いただけます。
ハッカーが既知の脆弱(ぜいじゃく)性を悪用していることが判明したため、セキュリティ企業のFortinetは顧客に対して、最新のファームウェアへのアップグレードを強く要請している。
同社は2023年6月12日(注1)、「FortiOS」および「FortiProxy」の「SSL-VPN」機能におけるヒープベースのバッファオーバーフローの脆弱性(CVE-2023-27997)を悪用することで(注2)、サイバー攻撃者がデバイスを制御できる可能性があると警告した。
同社は新たに報告された脆弱性が自由に悪用される状態だと警告している(注3)。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、ユーザーと管理者に対して、新しいガイダンスを読みアップグレードを適用するように推奨している(注4)。
Fortinet製品の脆弱性を悪用する脅威アクター「Volt Typhoon」とは
Fortinetが2023年の初めにさかのぼり、過去のサイバー攻撃に関する内部調査を実施した結果、今回の活動は発覚した。
Fortinetは2023年1月、政府や政府関連機関を標的とした高度なサイバー攻撃において、ヒープベースのバッファオーバーフローの脆弱性が使用されていることを発見した(注5)。自由に悪用できる状態だったこの脆弱性(CVE-2022-42475)を利用して(注6)、サイバー攻撃者は遠隔地から標的のシステムを制御していた。Fortinetが製品のコードを調査してSSL-VPNモジュールに問題を発見し、LexFoの外部研究者たちが認証前に悪用される恐れのある脆弱性を公表した(注7)。
SSL-VPN製品は高度な技術を使うハッカーにとって格好の標的である。
セキュリティ企業のTenableのシニアスタッフ・エンジニアであるサトナム・ナラング氏は「過去5年間、CitrixやPulse Secure、FortinetなどのSSL-VPN製品の脆弱性が狙われている。これらの脆弱性はランサムウェアグループだけでなく、国家主導の攻撃者によっても悪用されており、特にFortinetのデバイスの脆弱性に焦点が当てられている」と話す。
セキュリティ企業であるRapid7の研究者たちは、21万700以上のFortigateデバイスのSSL-VPNコンポーネントがインターネットに公開されている点を指摘した(注8)。その大部分は米国にあり、一部は日本と台湾にも存在している。
国家主導の脅威アクター「Volt Typhoon」が米国の重要インフラに対して実行したサイバー攻撃にFortinetの脆弱性が関与しているとされた数週間後、今回の新たな警告が発表された。米国当局や研究者たちは、米中の緊張が高まる中、国家が関与する攻撃者が最終的には米国とアジアの通信を遮断しようとしている恐れがあるとしている。
Volt Typhoonは、Fortinetの「FortiGuard」デバイスを悪用して企業にアクセスし、家庭用ネットワーク機器も利用する(注9)。この攻撃には直接の関連性はないが、Fortinetは今後もパッチが適用されていない脆弱性を悪用する攻撃者が存在すると警告している。
Tenableのスタッフリサーチエンジニアであるスコット・カヴェザ氏によると、Volt TyphoonはFortinetの重大な認証バイパスであるCVE-2022-40684を悪用することで知られているという(注10)。この脆弱性は2022年10月に修正された。
(注1)FortiOS & FortiProxy - Heap buffer overflow in sslvpn pre-authentication(FortiGuard Labs)
(注2)CVE-2023-27997 Detail(NIST)
(注3)Analysis of CVE-2023-27997 and Clarifications on Volt Typhoon Campaign(Fortinet)
(注4)Fortinet Releases Security Updates for FortiOS and FortiProxy(Cybersecurity & Infrastructure Security Agency)
(注5)Analysis of FG-IR-22-398 FortiOS - heap-based buffer overflow in SSLVPNd(Fortinet)
(注6)Fortinet urges customers to upgrade systems amid critical vulnerability(Cybersecurity Dive)
(注7)@cfreal_(Twitter)
(注8)CVE-2023-27997: Critical Fortinet Fortigate Remote Code Execution Vulnerability(RAPID7)
(注9)Broad campaign underway to access US critical infrastructure using small, home office devices(Cybersecurity Dive)
(注10)CVE-2022-40684: Critical Authentication Bypass in FortiOS and FortiProxy(TENABLE)
関連記事
Teamsの脆弱性を突く新ツール「TeamsPhisher」を公開 全ユーザーが利用可
米国海軍は新たなセキュリティツール「TeamsPhisher」を公開した。これを利用すると、Teamsユーザーに対するフィッシング攻撃が可能になる。
CISOの5人に3人が「2023年のサイバーセキュリティ予算は増加」
景気後退や経済の減速に対する懸念が広がる中、企業はサイバーセキュリティ予算を増やしている。
生成AIブームの勝者になるには何が必要か Palo Alto NetworksのCEOが語る
Palo Alto Networksは生成AIの展開に慎重な姿勢を採っているが、この技術がサイバーセキュリティにとって大きな転機になると信じている。
消費者の75%がランサムウェア被害に遭った企業からサービスを乗り換える
Object Firstの調査によると、利用しているベンダーがランサムウェア攻撃に遭ってデータが盗まれたら、消費者の75%が「競合他社にビジネスを切り替える」と回答した。
© Industry Dive. All rights reserved.
注目のテーマ
人気記事ランキング
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
- 「SAPのUXをガラッと変える」 AIアシスタントJouleの全体像とは?
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- 検出回避を狙う攻撃者の動きは加速、防御者がやるべきことは Mandiantが調査を公開
ITmediaはアイティメディア株式会社の登録商標です。