FortiOS のゼロデイ CVE-2022-42475 が FiX:高度かつ活発な悪用を検出

Fortinet: Govt networks targeted with now-patched SSL-VPN zero-day

2023/01/12 BleepingComputer — Fortinet によると、2022年12月にパッチ適用された FortiOS SSL-VPN のゼロデイ脆弱性を悪用する脅威アクターが、政府の機関や関連組織にターゲットを狙った攻撃を行っていたことが判明した。一連のインシデントで悪用されたのは、FortiOS SSL-VPN に存在するヒープバッファ・オーバーフローの脆弱性 CVE-2022-42475 であり、認証されていないリモートの攻撃者に対して、デバイスの毀損やコード実行を許すものである。

2022年11月28日に Fortinet はゼロデイであることを公表せずに、このバグに対して FortiOS 7.2.3でサイレント・パッチを適用した後に 12月中旬になって、進行中の攻撃に対してアプライアンスにパッチ適用するよう顧客に促している。


この問題は、12月7日に TLP:Amber の非公開アドバイザリで、顧客に対して警告された。そして 12月12日には、このバグが攻撃で活発に悪用されているという警告を含む、より詳細な情報が公開された。

その時点で同社は、「この脆弱性が悪用された事例を認識している。管理者たちは、このアドバイザリで共有された侵害の指標となるリストと、自身のシステムを直ちに照合すべきだ」と推奨している。

2023年1月11日に Fortinet は、脆弱性 CVE-2022-42475 の悪用に成功した攻撃者が、FortiOS SSL-VPN アプライアンスを侵害し、IPS エンジンのトロイの木馬化バージョンとして、マルウェアを展開していたことを明らかにした。

政府機関のネットワークを狙うために利用されたゼロデイ

Fortinet によると、この脅威アクターの攻撃は高度に標的化されており、分析中に見つかった証拠から、政府機関のネットワークに焦点が当てられていることが判明した。

同社は、「この悪用の複雑さを考慮すると、政府または政府関連を標的とする、高度な技術を持つ脅威アクターの存在が示唆される。攻撃された Windows サンプルからは、オーストラリア/ロシア/シンガポール/中国および東アジア諸国を含む、UTC+8 タイムゾーンのマシン上でコンパイルされたアーティファクトが発見された」と述べている。

この脆弱性を悪用する攻撃者は、特定のログエントリを削除するために、FortiOS のロギング・プロセスにパッチを適用するマルウェアをインストールし、また、必要に応じてロギング・プロセスを停止することで、持続性の維持と検知を回避を巧みに行っていた。

さらに、ネットワーク・トラフィックを常時監視して脅威を検知し、セキュリティ侵害の試みをブロックするように設計された Intrusion Prevention System (IPS) 機能も、このマルウェアは破壊していることが判明した。つまり、侵害済のアプライアンスに追加のペイロードをダウンロードすることで、検知を回避していたことになる。

Fortinet は、「このマルウェアは、FortiOS のログ処理にパッチを適用し、ログを操作し、検知を回避している。つまり、FortiOS のイベントのログである elog ファイルが検索され、メモリ内で解凍した後に、攻撃者が指定した文字列を検索/削除した上でログを再構築していた」と述べている。

Fortinet は、攻撃中にリモート・サイトから、さらなる悪意ペイロードがダウンロードされたが、それらの取得と分析は不可能だったと警告している。

2022年12月に発生した、脆弱性 CVE-2022-42475 を悪用した脅威アクターは、FortiOS オペレーティング・システムの一部を、リバース・エンジニアリングする高度な能力を持つ」と結論付けている。

また、FortiOS のパッチ適用バージョンに直ちにアップグレードし、攻撃の試みをブロックし、12月の攻撃に関連する侵害の指標を見つけた場合には、Fortinet のサポートに連絡するよう顧客に呼びかけている。

FortiOS SSLVPNd に存在するヒープバッファ・オーバーフローの脆弱性 CVE-2022-42475 ですが、2022年12月13日に Fortinet FortiOS に緊急パッチというタイトルで、お伝えしています。よろしければ、最近の関連トピックも、ご参照ください。

10月3日:Fortinet の脆弱性 CVE-2022-40684 に PoC エクスプロイト
11月3日:Fortinet のCVE-2022-38374 などが FIX:XSS 攻撃の可能性
11月29日:Fortinet の CVE-2022-40684:アクセスを販売する IAB が登場?