Fortinetは、FortiOSおよびFortiProxyの「SSL-VPN」機能におけるヒープベースのバッファオーバーフローの脆弱性を悪用することで、サイバー攻撃者がデバイスを制御できる可能性があると警告した。
この記事は会員限定です。会員登録すると全てご覧いただけます。
ハッカーが既知の脆弱(ぜいじゃく)性を悪用していることが判明したため、セキュリティ企業のFortinetは顧客に対して、最新のファームウェアへのアップグレードを強く要請している。
同社は2023年6月12日(注1)、「FortiOS」および「FortiProxy」の「SSL-VPN」機能におけるヒープベースのバッファオーバーフローの脆弱性(CVE-2023-27997)を悪用することで(注2)、サイバー攻撃者がデバイスを制御できる可能性があると警告した。
同社は新たに報告された脆弱性が自由に悪用される状態だと警告している(注3)。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、ユーザーと管理者に対して、新しいガイダンスを読みアップグレードを適用するように推奨している(注4)。
Fortinetが2023年の初めにさかのぼり、過去のサイバー攻撃に関する内部調査を実施した結果、今回の活動は発覚した。
Fortinetは2023年1月、政府や政府関連機関を標的とした高度なサイバー攻撃において、ヒープベースのバッファオーバーフローの脆弱性が使用されていることを発見した(注5)。自由に悪用できる状態だったこの脆弱性(CVE-2022-42475)を利用して(注6)、サイバー攻撃者は遠隔地から標的のシステムを制御していた。Fortinetが製品のコードを調査してSSL-VPNモジュールに問題を発見し、LexFoの外部研究者たちが認証前に悪用される恐れのある脆弱性を公表した(注7)。
SSL-VPN製品は高度な技術を使うハッカーにとって格好の標的である。
セキュリティ企業のTenableのシニアスタッフ・エンジニアであるサトナム・ナラング氏は「過去5年間、CitrixやPulse Secure、FortinetなどのSSL-VPN製品の脆弱性が狙われている。これらの脆弱性はランサムウェアグループだけでなく、国家主導の攻撃者によっても悪用されており、特にFortinetのデバイスの脆弱性に焦点が当てられている」と話す。
セキュリティ企業であるRapid7の研究者たちは、21万700以上のFortigateデバイスのSSL-VPNコンポーネントがインターネットに公開されている点を指摘した(注8)。その大部分は米国にあり、一部は日本と台湾にも存在している。
国家主導の脅威アクター「Volt Typhoon」が米国の重要インフラに対して実行したサイバー攻撃にFortinetの脆弱性が関与しているとされた数週間後、今回の新たな警告が発表された。米国当局や研究者たちは、米中の緊張が高まる中、国家が関与する攻撃者が最終的には米国とアジアの通信を遮断しようとしている恐れがあるとしている。
Volt Typhoonは、Fortinetの「FortiGuard」デバイスを悪用して企業にアクセスし、家庭用ネットワーク機器も利用する(注9)。この攻撃には直接の関連性はないが、Fortinetは今後もパッチが適用されていない脆弱性を悪用する攻撃者が存在すると警告している。
Tenableのスタッフリサーチエンジニアであるスコット・カヴェザ氏によると、Volt TyphoonはFortinetの重大な認証バイパスであるCVE-2022-40684を悪用することで知られているという(注10)。この脆弱性は2022年10月に修正された。
(注1)FortiOS & FortiProxy - Heap buffer overflow in sslvpn pre-authentication(FortiGuard Labs)
(注2)CVE-2023-27997 Detail(NIST)
(注3)Analysis of CVE-2023-27997 and Clarifications on Volt Typhoon Campaign(Fortinet)
(注4)Fortinet Releases Security Updates for FortiOS and FortiProxy(Cybersecurity & Infrastructure Security Agency)
(注5)Analysis of FG-IR-22-398 FortiOS - heap-based buffer overflow in SSLVPNd(Fortinet)
(注6)Fortinet urges customers to upgrade systems amid critical vulnerability(Cybersecurity Dive)
(注7)@cfreal_(Twitter)
(注8)CVE-2023-27997: Critical Fortinet Fortigate Remote Code Execution Vulnerability(RAPID7)
(注9)Broad campaign underway to access US critical infrastructure using small, home office devices(Cybersecurity Dive)
(注10)CVE-2022-40684: Critical Authentication Bypass in FortiOS and FortiProxy(TENABLE)
© Industry Dive. All rights reserved.