Fortinet Shares Clarifications on Exploitation of FortiNAC Vulnerability
2023/02/24 SecurityWeek — Fortinet は、FortiNAC network access control (NAC) の脆弱性を狙った最近の悪用行為について、同社がセンセーショナルな報道と表現したことに関して、いくつかの重要な説明を行った。この脆弱性 CVE-2022-39952 は、悪用に成功したリモートの未認証の攻撃者により、任意のコードが実行される可能性を持つものだ。この問題は、Fortinet の内部で発見されている。
この欠陥に対するパッチが 2月16日に発表された後に、あるサイバー・セキュリティ企業が 2月21日に、技術的な詳細と PoC エクスプロイトを公開した。
同日に、非営利のサイバー・セキュリティ組織である Shadowserver は、同社のハニーポットで複数の IP からの悪用の試みを確認し始めたと発表した。そして翌日に、脅威情報企業 GreyNoise は、2つの IP アドレスからの、脆弱性 CVE-2022-39952 への広範な悪用を確認したと報告した。GreyNoise が確認した IP の数は、2月24日の時点で2つだけである。
チリのセキュリティ企業である Cronup は、10個の IP アドレスから大規模な侵害が発生していると報告している。脆弱な FortiNAC システムを特定するための試みや、リバースシェルを展開する試みもあるという。
複数の研究者が、この脆弱性は非常に悪用しやすいと評している。
そして、2月23日 (木) に Fortinet はブログ記事を公開し、脆弱性 CVE-2022-39952 は直ちにパッチを適用する必要がある、重要な問題だと顧客に伝えている。しかし、同社は、71万1000台 のデバイスが悪用される可能性があるという、センセーショナルな報道について指摘もしている。
Fortinet は、「これらの報道は誤りである。実際のところ、ほとんどの組織は、インターネットに公開されていないエアギャップ環境で、FortiNAC を活用している。また、Fortinet は膨大なサイバー・セキュリティ・ポートフォリオを持ち、1,000万台以上を出荷しているが、脆弱性を持つデバイスが 711,234台も存在するようなことはない。私たちは誰よりも多くのセキュリティ・アプライアンスを出荷しているので、誤解が生じやすいが、この報道は誤りである」と述べている。
この脆弱性 CVE-2022-39952 が公開された直後のニュースでは、インターネットに公開されたフォーティネットのデバイスが 70万台以上あると推測する、Shodan 検索が参照されている。しかし、それらのデバイスの全てが、脆弱性 CVE-2022-39952 の影響を受け、攻撃に対して脆弱であることを意味するものではない。
また、Fortinet は、サイバー・セキュリティ業界で見られる悪用の試みは、実際には FortiNAC デバイスを狙ったものではない可能性があるとも指摘している。
同社は、「クラウド・ハニーポットの活動は、外部から提供された POC コードを用いて、攻撃者が何らかのデバイス (必ずしも FortiNAC ではない) を侵害しようとする試みを示しているだけだ」と指摘している。
脆弱性 CVE-2022-39952 の悪用による、実際の影響については、現時点で依然として不明である。しかし、Fortinet 製品を攻撃対象にする、洗練された脅威者たちの存在も知られているため、FortiNAC ユーザーにとっては、潜在的な脅威を無視しないことが重要である。
このところ、さまざまなメディアで利用されている Shodan の検索結果ですが、もちろん陽性が含まれるにしても、偽陽性も含まれるはずという、Fortinet の主張です。なんとなく、言いたいことは理解できますね。最近の Fortinet に関連する記事は、以下のとおりです。
2023/02/17:FortiNAC/FortiWeb の深刻な脆弱性が FIX
2023/01/04:FortiADC/FortiTester 深刻な脆弱性が FIX
2022/12/13:FortiOS に緊急パッチ:認証バイパスの脆弱性
IoT OT Security News 
You must be logged in to post a comment.