FortiOS SSL-VPN の脆弱性 CVE-2022-42475:中国由来のハッカーが 2022年10月から侵害

Chinese hackers used recently patched FortiOS SSL-VPN flaw as a zero-day in October

2023/01/20 SecurityAffairs — 先日にパッチが適用された FortiOS SSL-VPN の脆弱性 CVE-2022-42475 を、中国の脅威アクターと思われる人物が、ゼロデイとして悪用したことを、Mandiant の研究者たちが報告している。この脆弱性は、欧州の政府機関やアフリカの MSP などを標的とする、一連の攻撃で悪用されたと、同社は述べている。この脆弱性は、2022年12月に Fortinet により対処されているが、攻撃自体は 10月の時点で生じていた。専門家たちが集めた証拠によると、中国のサイバースパイ活動の一環であることが示唆されている。


2022年12月に Fortinet は、FortiOS SSL-VPN に存在する、任意のコード実行の脆弱性 CVE-2022-42475 に対処した。この脆弱性は、未認証のリモート攻撃者により、積極的に悪用される可能性があるため、最新バージョンへのアップデートが顧客に促された。

この FortiOS の脆弱性は、sslvpnd におけるヒープバッファ・オーバーフローに起因するものであり、悪用に成功した未認証のリモート攻撃者に対して、対象となるデバイスのクラッシュや、コードの実行を許すものとなる。

FortiNet のアドバイザリには、「FortiOS SSL-VPN におけるヒープバッファ・オーバーフローの脆弱性 [CWE-122] は、リモートの未認証の攻撃者に対して、特別に細工したリクエストを介した任意のコード/コマンド実行を許す可能性がある。Fortinet は、この脆弱性が野生の状態で悪用されている事例を認識している」と記されていた。

そして Fortinet は、FortiOS 7.2.3 のリリースにより、この問題に対処した。

Mandiant の公表は、「新種のマルウェアを確認し、BOLDMOVE として追跡している」というものだ。専門家たちは、BOLDMOVE の Windows/Linux 亜種を発見したが、特に後者は FortiGate ファイアウォールを標的とするよう設計されていたと述べている。

Mandiant が発行したレポートには、「このインシデントは、インターネットに接続されたデバイスを、特に管理されたセキュリティ目的で使用されるデバイス (Firewall/IPS/IDS アプライアンスなど) を悪用するという、中国のパターンを引き継いでいる。そして、これらのデバイスは、複数の理由から魅力的なターゲットとなる。第一に、それらはインターネット・アクセスが可能であり、攻撃者がエクスプロイトを持っている場合において、被害者とのやり取りを必要とせずに標的ネットワークに侵入できる。それにより、攻撃者は操作のタイミングを制御でき、検出の可能性を減らすことが可能となる」と記されている。

この脅威アクターは、対象デバイスと文書化されていない独自の情報を深く理解し、ゼロデイ・エクスプロイトを開発する能力を持っていることが実証された。

研究者たちの指摘は、BOLDMOVE は C で書かれているが、その脆弱性の悪用については、ダイレクトに観察していないというものだ。しかし、彼らは、BOLDMOVE Linux 亜種のサンプルが、Fortinet がリストアップした C2 IP アドレスに接続するよう設計され、このエクスプロイトに関与していることに気づいた。

BOLDMOVE は、感染させたデバイスのシステム情報を収集し、C2 サーバから送信されたコマンドを実行できる。さらに、BOLDMOVE の拡張版マルウェアは、システム上の Fortinet 固有のログを変更するためのコマンドをサポートしている。 

Mandiant は、「このオペレーションは、中華人民共和国と関係があるだろうと評価している。歴史的に見て、中国に関連するクラスターはネットワーク・デバイスを標的とし、これらのデバイスをサポートするオペレーティング システムまたは、基盤となるソフトウェアを制御することに、強い関心を示してきた。さらに、ターゲティングにおける地理的および分野的な要素は、これまでの中国の作戦と一致している。ネットワーキング・デバイスのゼロデイ脆弱性の悪用と、それに続くカスタム・インプラントのインストールは、中国によるネットワーキング・デバイスの悪用という、これまでの方向性と一致している」と締めくくっている。

この FortiOS SSL-VPN の脆弱性 CVE-2022-42475 については、2022/12/13 の Fortinet FortiOS に緊急パッチ:認証バイパスの脆弱性 で、すでにお伝えしていますが、それ以前に悪用が進んでいたようです。文中には、侵入の経路として魅力的だと説明されていますが、DDOS ボットネットとしても、きわめて効率よく悪用できるようです。よろしければ、以下のリンクも、ご参照ください。

2022/03/09:Mitel PBX の脆弱性:増幅率 40億倍の DDoS の原因
2022/03/01:DDoS:反射パターンの調整で 6,533% の増幅率
2021/08/16:ファイアウォールは DDoS の最終ウェポン?