FBI 警告:FatPipe VPN のゼロデイ脆弱性が5月から悪用されている

FBI warns of APT group exploiting FatPipe VPN zero-day since May

2021/11/18 BleepingComputer — 米国の FBI は、FatPipe のルーター・クラスタリング製品および、ロードバランサー製品を悪用して、ターゲットのネットワークに侵入する APT (Advanced Persistent Threat) の存在について警告した。FatPipe は、ソルトレイク・シティに本社を置く、WAN 最適化ソリューションに特化した、コンピュータ・ネットワーキング・ハードウェア企業であり、多数の Fortune 1000 企業を顧客として抱えている。

また、FatPipe の製品は、政府機関/軍関係者/自治体/公共施設/教育機関/金融機関/医療機関などの、あらゆる業種の企業に採用されている。

FBI は今週の Flash Alert で、「2021年11月時点の FBI フォレンジック分析により、FatPipe MPVPN デバイス・ソフトウェアのゼロデイ脆弱性が、2021年5月にさかのぼって悪用されていることが判明した。この脆弱性により、APT アクターは、無制限のファイル・アップロード機能にアクセスして、侵害のための Web シェルを root アクセスでドロップし、特権昇格と潜在的な後続活動につなげることが可能だ」と述べている。

横移動に利用される危殆化した VPN

脆弱な FatPipe デバイスにハッキングした後に、攻撃者はターゲットのネットワークで横方向に移動するために VPN を使用している。今回の攻撃で悪用されたゼロデイ・バグは、最新のリリースである 10.1.2r60p93/10.2.2r44p1 以前の全ての FatPipe WARP/MPVPN/IPVPN デバイス・ソフトウェアに影響を与える。この脆弱性には、現時点で CVE ID がアサインされていないが、FBI によると、今月に FatPipe は修正を行い、FPSA006 タグで追跡されるセキュリティ・アドバイザリをリリースした。

同社は、「FatPipe ソフトウェアの Web 管理インターフェースに脆弱性があり、リモートの攻撃者が影響を受けるデバイスの、ファイル・システム上の任意の場所にファイルをアップロードする可能性がある。この脆弱性は、影響を受けるデバイス上の特定の HTTP リクエストに対する、入力/検証チェックのメカニズムが欠如していることが原因となっている。攻撃者は、影響を受けるデバイスに細工した HTTP リクエストを送信することで、この脆弱性を悪用できる」と述べている。

FatPipe のアドバイザリ・ページでは、「このバグを軽減するためには、すべての WAN インターフェイスにおける UI アクセスの無効化、および、インターフェイスのページでアクセスリストを設定した上での、信頼できるソースからのアクセスのみの許可」などのアドバイスも掲載されている。

昨日に FBI も、米国/英国/オーストラリアのサイバー・セキュリティ機関との共同勧告で、イランに支援されたハッキング・グループが、Microsoft Exchange ProxyShell や Fortiner の脆弱性を積極的に利用していると警告している。

先日に「ゼロトラストにおける5つの迷信を検証していく」という記事をポストしました。その中に、VPN に関する認識の注意点という項目がありました。そこには、「VPN の置き換えは多くの場合において、ZTNA (Zero-Trust Network Access) ソリューション採用の原動力となっている」と記されていますが、あくまでも、移行は緩やかに進むものと考えられます。VPN ベンダーは不可欠なものだと思います。頑張って欲しいです。

%d bloggers like this: