Fortinet VPN アカウント 50万件が流出:脆弱性 CVE-2018-13379 に要注意

Hackers leak passwords for 500000 Fortinet VPN accounts

2021/09/08 BleepingComputer — 昨年の夏に悪用されたデバイスからスクレイピングされた、約50万件の Fortinet VPN のログイン名/パスワードのリストが、ある脅威行アクターにより流出させられた。そのときに悪用された Fortinet の脆弱性はパッチがリリースされているが、多くの VPN 認証情報は依然として有効だと、この脅威アクターは主張している。

この VPN 認証情報の流出は、脅威アクターネットワークにアクセスし、データ流出/マルウェア・インストール/ランサムウェア攻撃などを可能にするという、深刻なインシデントである。

Fortinet の認証情報がハッキング・フォーラムで流出

Fortinet 認証情報リストの流出は、最近に立ち上げられたハッキング・フォーラム RAMP の管理者であり、また、ランサムウェア Babuk の運営者でもあった、Orange と呼ばれる脅威アクターが無料で行ったものだ。昨日、この脅威アクターは、RAMP フォーラムにおいて、数千の Fortinet VPN アカウントが含まれるとされる、ファイルへのリンクを記載したコンテンツをポストした。

それと同時に、Groove ランサムウェアのデータリーク・サイトにも、Fortinet VPN リークを宣伝する投稿が現れた。どちらの投稿も、ランサムウェア被害者に支払いを迫るために流出させた、盗難ファイルをホストするための Tor ストレージ・サーバーにつながるものである。

このファイルを BleepingComputer が分析したところ、12,856台のデバイス上にいる、498,908人のユーザーの VPN 認証情報が含まれていることが分かった。BleepingComputer では、流出した認証情報の有効/無効については検証していないが、そこに含まれる全ての IPアドレスは、Fortinet VPN サーバーを指すことを確認している。

Advanced Intel による更なる分析の結果、それらの IP アドレスは世界中に散らばっているが、そのうちの 2,959台のデバイスは米国に設置されていることが分かった。Advanced Intel の CTO である Vitali Kremez は BleepingComputer に対してOrange は Fortinet の脆弱性 CVE-2018-13379 を悪用して、これらの認証情報を集めたのだろうと述べている。

サイバー・セキュリティ業界の関係者が BleepingComputer に語ったところによると、流出した認証情報の少なくとも一部は有効であることを、法的に確認することができたとされる。脅威アクターが、自分たちで認証情報を悪用せずに公開した理由は不明だが、RAMP ハッキング・フォーラムと Groove ransomware-as-a-service の活動を促進するために行われたも考えられる。

Vitali Kremez は、「今回の VPN SSL の流出は、ランサムウェアの運営者を目指す脅威アクターたちに、 “おまけ “を提供する新しいランサムウェア・フォーラム RAMP の宣伝のために行われた可能性が高い」と述べている。Groove は、比較的新しいランサムウェアであり、そのデータリーク・ページに掲載されている被害者は、現時点では1人だけだ。つまり、サイバー犯罪コミュニティに無償物を提供することで、他の脅威アクターをアフィリエイトに勧誘することを狙っているのだろう。

Fortinet VPN サーバー管理者は何をすべきか?

BleepingComputerは、認証情報のリストを法的に検証することはできないが、もし、あなたが、Fortinet VPN サーバーの管理者であるなら、リストアップされた認証情報の多くが有効であると仮定し、予防策を講じるべきだ。これらの予防策には、安全のために、すべてのユーザー・パスワードを強制リセットすることや、侵入の可能性についてログ・チェックを実施することも含まれる。不審な点があった場合には、すぐに最新パッチのインストールの有無を確認し、より詳細な調査を行い、ユーザー・パスワードがリセットされていることを確認すべきだ。

Fortinet VPN サーバー管理者さんは、忙しい一日になってしまいますね。この脆弱性 CVE-2018-13379 ですが、手元のデータベースを調べてみたら、2019年6月に登場していて、CVSS は 7.5 でした。しかし、2020年11月に USCERT が、12月には JPCERT が注意喚起を出していて、そのときの CVSS は 9.8 に上がっていました。原因は、CWE-22 (パス・トラバーサル) とされ、PoC エクスプロイトもありです。ご確認ください。