FortiManagerにゼロデイ脆弱性、悪用を確認済み MandiantとFortinetが共同調査：セキュリティニュースアラート

MandiantとFortinetはFortiManagerアプライアンスのゼロデイ脆弱性「CVE-2024-47575」の調査結果を発表した。新興の脅威アクターがこの脆弱性を悪用してFortiGateの設定データを収集し、さらに攻撃者のデバイスを登録していることも分かった。

[後藤大地，有限会社オングス]

　MandiantとFortinetは2024年10月24日（現地時間、以下同）、セキュリティ管理プラットフォーム「FortiManager」のゼロデイ脆弱（ぜいじゃく）性（CVE-2024-47575）に関する調査結果を発表した。

　この脆弱性を悪用すれば、サイバー攻撃者は認証を回避してFortiManagerに任意のコードを実行できる。本件ではUNC5820という新たな脅威クラスタがこの脆弱性を利用し、「FortiGate」デバイスの設定データを窃取していたことが判明した。

FortiManagerのゼロデイ脆弱性を巡るサイバー攻撃の詳細

　コンピュータ情報サイトの「Help Net Security」は2024年10月21日、FortiManagerに重大な脆弱性が存在し、中国の脅威アクターが悪用していることを報道した。Fortinetはこの状況に対して緊急パッチをリリースしたと伝えられていたが、どの脅威アクターがどのような目的でどういった脆弱性を悪用したのかといった具体的な情報は公開されていなかった。今回のMandiantの発表で脆弱性の詳細が明らかになった形になる。

　最初の攻撃は2024年6月27日に確認され、その際に複数のFortiManagerデバイスが特定のIPアドレスからの接続を受けた。その後、FortiManagerの設定ファイルがGZIP形式でアーカイブされ、外部に送信された。また、同様の攻撃が2024年9月23日にも観測されており、この2回のサイバー攻撃で攻撃者はFortiManagerに不正なデバイスを登録していた。

　Mandiantの分析では、攻撃者がFortiManagerの設定データを利用してさらなる侵害を実行した証拠は現在のところ見つかっていない。しかし、調査が進展し新たな情報が得られた場合には先の発表記事をアップデートするとしており、該当製品を使用している場合、今後の展開を注視しておく必要がある。現時点ではサイバー攻撃者の動機や所在地に関する情報が不足しており、さらなる解析が必要とされている。

　Fortinetは影響を受けた顧客に事前に警告を送り、攻撃の防止策として管理ポータルへのアクセスを内部の信頼できるIPアドレスに限定することや、不明なFortiGateデバイスの接続を拒否する設定を推奨している。