Fortinetはネットワークおよびセキュリティ管理ツール「FortiManager」のゼロデイ脆弱性が広く悪用されているとし、顧客に注意を促している。
この記事は会員限定です。会員登録すると全てご覧いただけます。
サイバーセキュリティ事業を営むFortinetは2024年10月30日(現地時間、以下同)にセキュリティアドバイザリーを更新し(注1)、顧客に注意を促した。同社によると、ネットワークおよびセキュリティ管理ツール「FortiManager」のゼロデイ脆弱(ぜいじゃく)性が広く悪用されていることを示す4つの兆候を新たに特定したという(注2)。
Fortinetは「状況は進展しており、今回の更新は大きな変化を反映したものではない」と述べている。同社の広報担当者は、2024年10月30日に電子メールで「ホスティングプロバイダーと協力して攻撃者のインフラを停止させたため、一部のIPに関する侵害の兆候(IoC)が変更された」と述べた。
2024年10月21日の週にFortinetは、共通脆弱性評価システム(CSVV)におけるスコアが9.8である重大な脆弱性「CVE-2024-47575」が悪用されている旨を公表した(注3)。サイバーセキュリティ事業を営むMandiantは、さまざまな業界における少なくとも50の組織が「大規模な悪用」の影響を受けたと報告している(注4)。
この重大な脆弱性について、2024年10月21日の週に警鐘を鳴らしたセキュリティ研究者たちは、悪用またはそれに続く悪質な活動が増加している証拠を報告していないが、影響が拡大する可能性は依然として存在する。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2024年10月30日、CVE-2024-47575に関する追加の回避策とIoCについて警告を発表した(注5)。
セキュリティの状況を監視するプラットフォームを提供するCensysのヒマジャ・モテラム氏(セキュリティリサーチャー)は、2024年10月30日に「Cybersecurity Dive」に対して、次のように述べている。
「2024年10月30日時点で、4000以上のFortiManager管理ポータルがインターネット上に公開されており、同年10月21日の週からわずかに23台が減少したに過ぎない」
また、モテラム氏は電子メールで次のように述べた。
「ユーザーが管理パネルへのアクセスをインターネットで制限している様子は見受けられないが、パッチを適用したり、回避策を講じていたりする可能性はある」
FortiManagerの重要な機能に対する認証欠如の脆弱性の悪用によって、認証されていない攻撃者はリモートで任意のコードやコマンドを実行できる可能性がある。2024年10月21日の週にFortinetとMandiantが発表した内容によると、この攻撃では、侵害されたFortiManagerが管理するFortiGateデバイスのIPアドレスや認証情報、設定データなどが盗まれたという。
サイバーセキュリティ事業を営むRapid7のケイトリン・コンドン氏(インテリジェンスディレクター)は、2024年10月30日に電子メールで次のように述べている。
「当社は、この重大な脆弱性の積極的な悪用を観察している。現在、この脆弱性を悪用する活動の大幅な増加は確認していないが、幾つかの調査が進行中である」
Fortinetは「最初のアドバイザリーで公開した回避策で十分に対策できる」と述べている。現在も同社は顧客に対して、回避策の実施とソフトウェア更新による脆弱性の修正を強く推奨している。「私たちはCISAや顧客と直接連携し、適切なタイミングで緩和措置を講じられるよう努めている」(Fortinetの広報担当者)
(注1)Missing authentication in fgfmsd(FortiGuard Labs)
(注2)Fortinet zero-day attack spree hits at least 50 customers(Cybersecurity Dive)
(注3)CVE-2024-47575 Detail(NIST)
(注4)Investigating FortiManager Zero-Day Exploitation (CVE-2024-47575)(Google Cloud)
(注5)Fortinet Updates Guidance and Indicators of Compromise following FortiManager Vulnerability Exploitation(CISA)
© Industry Dive. All rights reserved.