Fortinet の 深刻な脆弱性 CVE-2022-40684:アクセスを販売する IAB が登場?

Threat actors are offering access to corporate networks via unauthorized Fortinet VPN access

2022/11/29 SecurityAffairs — Cyble の研究者たちが認識しているのは、最近のパッチが適用された Fortinet 製品に存在する、深刻な脆弱性 CVE-2022-40684 を悪用する Initial Access Broker (IAB) が、 企業ネットワークへのアクセスを販売している可能性が高いという状況である。10月の初旬に Fortinet は、FortiGate Firewall/FortiProxy Web Proxy に影響を及ぼす、認証バイパスの脆弱性 CVE-2022-40684 に対処している。この脆弱性の悪用に成功した攻撃者は、脆弱なデバイスにログインすることが可能であると、Fortinet は説明している。


同社が発行した顧客サポート情報には、「FortiOS および FortiProxy における代替パスまたはチャネルを使用した認証バイパス[CWE-88:引数のインジェクションおよび改ざん]を悪用する非認証の攻撃者が、特別に細工した HTTP/HTTPS リクエストを介して、管理インターフェース上で不正な操作を行う可能性がある」と記載されている。

Fortinet は、この深刻な脆弱性がリモートで悪用される危険性があるため、直ちに対処するよう顧客に呼びかけている。この脆弱性は、FortiOS のバージョン 7.0.0〜7.0.6 および 7.2.0〜7.2.1 と、FortiProxy のバージョン 7.0.0〜7.0.6 および 7.2.0 以下に影響を及ぼす。

同社は、FortiOS/FortiProxy のバージョン 7.0.7/7.2.2 のリリースにより、この不具合に対処している。また、セキュリティ・アップデートを直ちに導入できない場合の回避策も用意している。システムをアップグレードできない顧客は、デバイスへのアクセスを特定の IP アドレス群に制限してほしいと、同社は述べている。

なお、10月18日の時点で Fortinet は、この深刻な認証バイパスの脆弱性が野放し状態で悪用されていることを認めている。Fortinet は、「この脆弱性が悪用された事例を認識しており、デバイスのログにある以下の侵害の指標と照らし合わせて、システムを直ちに検証することを推奨する: user=”Local_Process_Access” 」とアドバイザリに記している。

この脆弱性 CVE-2022-40684 に対する PoC エクスプロイト・コードがオンラインで公開されている。この PoC エクスプロイト・コードが公開されたことで、Fortinet デバイスを標的とした攻撃の波が押し寄せる可能性が生じている。

この10月の時点で、Shadowserver Foundation は、オンラインで公開された 17K 台以上の Fortinet デバイスが、脆弱性 CVE-2022-40684 を悪用する攻撃に対して脆弱であり、その大半がドイツと米国にあることを報告している。


今回、Cyble の研究者たちは、インターネットからアクセス可能な 10万台以上のFortiGate ファイアウォールが、いまだにパッチ未適用の場合には、脅威アクターたちの標的となる可能性があることを報告している。

この脆弱性を悪用する脅威アクターのアクティビティとしては、以下の項目が予測される。

  • 管理ユーザーの SSH キーを変更し、侵害したシステムに攻撃者がログインする。
  • 新しいローカル・ユーザーを追加する。
  • ネットワーク設定を更新し、トラフィックを迂回させる。
  • システム構成をダウンロードする。
  • パケット・キャプチャを開始して、他の機密システム情報をキャプチャする。
  • 機密性の高いシステム情報/システム構成/ネットワークの詳細などが、ダークウェブ上で配布される可能性が生じる。

Cyble の研究者たちは、「定期的な監視の最中に、脅威アクターロシアのサイバー犯罪フォーラムで、複数の未承認 Fortinet VPN アクセスを配布しているのを観察した。そのアクセスを分析したところ、攻撃者は admin ユーザーの・カウントに自分の公開鍵を追加しようとしていることが判明した。情報源から収集した情報によると、この被害者の組織は、古い FortiOS を使用していた。したがって、それを販売する脅威アクターは、脆弱性 CVE-2022-40684 を悪用している可能性が高い」と結論付けている。

Fortinet FortiOS access-being-distributed-over-Russian-Cybercrime-forums.webp

Cyble の研究者たちは、2022年10月17日以降において脅威アクターたちが、Fortinet インスタンスを標的にしていることを観察している。

彼らは、「Fortinet 製品における認証バイパス脆弱性は、未認証の攻撃者による管理インターフェイス上での操作を可能にする。政府/民間の組織が所有する大量の資産が、インターネット上に公開されていることから、この脆弱性は Critical なカテゴリに該当する。一般に配布される POC エクスプロイトや自動化ツールにより、利便性が向上したことで、新たな CVE が発表されてから数日以内に、攻撃アクターたちは被害者の組織を標的にすることが可能になっている」と指摘している。

Fortinet の脆弱性 CVE-2022-40684 ですが、企業ネットワークへのアクセスを販売する Initial Access Broker (IAB) が登場するという事態になっているようです。これまでの経緯は、以下のとおりです:10月7日「Fortinet 警告:FortiGate/FortiProxy に新たな認証バイパスの脆弱性」、10月10日「Fortinet の認証バイパスの脆弱性 CVE-2022-40684:野放し状態での悪用を確認」、10月13日「Fortinet の脆弱性 CVE-2022-40684 に PoC エクスプロイト:直ちに パッチ適用を!」。