Fortinet ゼロデイ・リモート脆弱性:パッチ・リリースは8月末に延期

Fortinet delays patching zero-day allowing remote server takeover

2021/08/17 BleepingComputer — Fortinet は、FortiWeb WAF (Web Application Firewal) で見つかった、ゼロデイのコマンド・インジェクションの脆弱性に対するパッチ・リリースを、8月末まで延期した。この脆弱性が悪用されると、認証された攻撃者が SAML サーバーの設定ページを介して、基盤となるシステムの root ユーザーとして、任意のコマンドを実行することができる。このバグを悪用するためには、攻撃者は対象となる FortiWeb デバイスの管理インターフェースに認証される必要があるが、たとえば認証バイパス (CVE-2020-29015) などの脆弱性と連鎖させることで、脆弱なサーバーを完全に制御することができる。

Rapid7 は、「攻撃者は、この脆弱性を利用して、影響を受けたデバイスを、可能な限り高い権限で、完全に制御することができる」と説明している。この FortiWeb 6.3.11 以前に影響を与えるゼロデイ脆弱性は、Rapid7 の研究者である William Vu impacts により発見されたが、まだ CVE ID は取得していない。パッチが提供されるまでの間、このバグを悪用しようとする攻撃から守るために、信頼できないネットワーク (インターネットなど) からの、FortiWeb デバイスの管理インターフェースへのアクセスをブロックすることが推奨される。このようなデバイスには、信頼できる内部ネットワークもしくは、安全な VPN 接続を介してのみアクセスするようにし、脅威アクターの試みをブロックする必要がある。

情報開示のスケジュール
2021年6月:Rapid7 の William Vu により問題が発見/検証される
6月10日:PSIRT コンタクトフォームを介してベンダーに最初の情報開示
6月11日: ベンダーによる確認 (チケット 132097)
8月11日:ベンダーと共同でフォローアップ
8月17日:この記事で公開
8月17日:修正プログタムを含む Fortiweb 6.4.1 の 8月末リリースが予定

Fortinet のアプライアンスは魅力的なターゲット

金銭的な動機を持つ脅威アクターや、国家が支援する脅威アクターは、パッチの適用が長年にわたって放置された、Fortinet のサーバーを恰好の標的としてきた。たとえば、Fortinet SSL VPN の脆弱性 CVE-2018-13379 を悪用して、インターネットに公開された米国の選挙支援システムが侵害されたときには、同社は顧客に対してパッチを適用するよう、2019年8月、2020年7月、2020年11月、2021年4月に繰り返して警告している。また、2020年11月には、政府機関や銀行などでも使用されている、約50,000台の Fortinet VPN サーバーの VPN 認証情報を盗むために、CVE-2018-13379 のエクスプロイト・リストが、ある脅威アクターにより共有された。今年の初めには、Fortinet の製品群に影響を与える、複数の脆弱性が修正された。一連の問題には、FortiProxy SSL VPN および FortiWeb Web WAF における、リモートコード実行 (RCE)、SQL インジェクション、サービス拒否 (DoS) のバグが含まれていた。さらに4月には、FBI と CISA が、国家に支援されるハッキング・グループが、FortiOS の脆弱性 CVE-2018-13379 CVE-2020-12812 CVE-2019-5591 を悪用して、Fortinet のアプライアンスにアクセスしていることが警告された。同月には、Cring (別名:Crypt3r / Vjiszy1lo / Ghost / Phantom) と呼ばれる脅威アクター操作する、新たなランサムウェアの系統に Fortinet VPN が悪用され、産業分野の企業ネットワークへの侵入と暗号化が生じていることが、Kaspersky により明らかにされた。その1ヶ月後に FBI は、Fortinet FortiGate ファイアウォール・アプライアンスが侵害されたことを受け、国家に支援される攻撃者が、米国の地方自治体のサーバーに侵入したことを警告する、フラッシュ・アラートを発表している。

Rapid7 のリンクをたどってみましたが、まだ CVE がアサインされていない脆弱性のようです。タイトルにもあるように、パッチはまだ先ですので、FortiWeb WAF の顧客は、緩和策に沿って対策を講じる必要がありますね。なお、連鎖が危険と指摘されている脆弱性 CVE-2020-29015 ですが、手元のデータベースで調べたら、2021年1月の Fortinet FortiWeb 6.2.4 で FIX しているようです。こちらも確認してください。

%d bloggers like this: