Fortinet FortiOS の深刻な脆弱性 CVE-2022-41328:政府機関への攻撃で悪用される

Fortinet: New FortiOS bug used as zero-day to attack govt networks

2023/03/13 BleepingComputer — 今月にパッチが適用された FortiOS のゼロデイ・エクスプロイトを悪用する未知の攻撃者たちが、政府機関や大規模組織を標的とした攻撃を行い、OS やファイルの破壊と、データ流出を引き起こしているという。2023年3月7日に Fortinet は、不正なコードやコマンドを実行できる深刻な脆弱性 CVE-2022-41328 に対して、セキュリティ・アップデートをリリースしている。


同社のアドバイザリには、「FortiOS におけるパストラバーサルの脆弱性 [CWE-22] により、特権を持つ攻撃者が細工した CLI コマンドを介して、任意のファイルを読み書きする可能性がある」と記されている。

この脆弱性の影響を受けるバージョンは、以下の通りである。

  • FortiOS 6.4.0〜6.4.11
  • FortiOS 7.0.0〜7.0.9
  • FortiOS 7.2.0〜7.2.3
  • FortiOS 6.0/6.2 の全バージョン

この脆弱性が修正されたバージョンは、以下の通りである。

  • FortiOS 6.4.12 以降
  • FortiOS 7.0.10 以降
  • FortiOS 7.2.4 以降

この脆弱性に関するアドバイザリでは、パッチがリリースされる前に、このバグが悪用されたことには触れていない。しかし、先週に発表された Fortinet のレポートでは、脆弱性 CVE-2022-41328 の悪用により、顧客の1社が所有する複数の FortiGate ファイアウォール・デバイスがハッキングされ、ダウンしたことが明らかにされている。

データ窃取マルウェア

このインシデントに結果として、侵害された Fortigate デバイスは、「System enters error-mode due to FIPS error: Firmware Integrity self-test failed:ファームウェアの完全性の自己テストに失敗」というメッセージを表示してシャットダウンし、再起動できなくなるという。

Fortinet は、「FIPS 対応デバイスがシステム ・コンポーネントの整合性を検証し、侵害が検出された場合にはネットワーク侵害をブロックするために、自動的にシャットダウンして起動を停止するように構成されているため、そのような状態になる」と述べている。

これらの FortiGate ファイアウォールは、被害者のネットワーク上の FortiManager デバイスを介して侵害された。すべてのデバイスが、同じ戦術でハッキングされ、同時に停止した。FortiGate パストラバーサル・エクスプロイトが、FortiManager 経由で実行されるスクリプトと同時に起動したことを考えると、これらのデバイスへの侵入があったことが分かる。

その後の調査により判明したのは、攻撃者がデバイスのファームウェア・イメージ (/sbin/init) を変更し、ブートプロセスが始まる前にペイロード (/bin/fgfm) が起動されていたことだ。

このマルウェアは、[ ;7(Zu9YTsA7qQ#vm ] という文字列を含む ICMP パケットを受信すると、データの流出/ファイルのダウンロード/ファイルへの書き込み/リモートシェルのオープンなどを行うよう設定されている。

ゼロデイが政府機関のネットワーク攻撃に利用される

Fortinet は、今回の攻撃は高度な標的型攻撃であり、脅威者が政府機関のネットワークを好んでいたことを示す証拠もあると結論付けている。また、攻撃者は、FortiGate デバイスの OS の一部をリバースエンジニアリングするなどの、高度な能力を示している。

同社は、「この攻撃は高度な標的型攻撃であり、政府または政府関連の標的を好んでいることを示すいくつかのヒントがある。この脆弱性を悪用する攻撃者は、FortiOS とハードウェアを深く理解する必要がある。発見されたカスタム・インプラントを分析すると、この脅威アクターは、FortiOS の各部分をリバースエンジニアリングするなどの、高度な能力を持っていることが示唆される」と述べている。

Fortinet の顧客に対しては、潜在的な攻撃の試みをブロックするために、直ちに FortiOS をアップグレードすることが推奨される (IOC のリストも入手可能)。

Fortinet は、2022年12月にパッチが適用された、FortiOS SSL-VPN の脆弱性 CVE-2022-42475 が、政府組織や政府関連団体を標的としたゼロデイ・バグとし悪用されるという、今回と非常に類似したインシデントを、2023年1月に公表している。

FortiOS SSL-VPN へのゼロデイ攻撃は、パッチ未適用の SonicWall Secure Mobile Access (SMA) アプライアンスにスパイ・マルウェアを感染させた、中国由来のハッキング・キャンペーンと多くの類似点を有しているという。

Fortinet ですが、つい先日にも、脆弱性 CVE-2023-25610 の件で、多くの企業が対応に追われていたようです。そして、今日の CVE-2022-41328 は、3月14日付けで CISA の KEV リストにも追加され、米国の連邦政府機関は 4月4日までの対応を要求されているようです。以下は、最近の、Fortinet 関連の記事です。

2023/03/08:脆弱性 CVE-2023-25610:直ちにパッチ適用を!
2023/02/24:CVE-2022-39952:Shodan 検索結果
2023/02/17:FortiNAC/FortiWeb の深刻な脆弱性が FIX
2023/01/04:FortiADC/FortiTester 深刻な脆弱性が FIX