Fortinet の脆弱性 CVE-2023-27997 が悪用されている：Volt Typhoon が攻撃？

Fortinet: New FortiOS RCE bug “may have been exploited” in attacks

2023/06/12 BleepingComputer — 先週パッチが適用された FortiOS SSL VPN の深刻な脆弱性だが、政府機関／製造業／重要インフラ組織に影響を与える攻撃において、悪用された可能性があると、Fortinet が発表した。この脆弱性 CVE-2023-27997 (FG-IR-23-097) は、FortiOS および FortiProxy SSL-VPN におけるヒープバッファ・オーバーフローに起因し、悪意を持って細工されたリクエストを介して、認証されていない攻撃者にリモートコード実行 (RCE) を許すものだ。

FortiOS SSL-VPN ゼロデイ CVE-2022-42475 を悪用した、最近の政府機関に対する一連の攻撃を受けて、SSL-VPN モジュールのコードを監査している際に、CVE-2023-27997 が発見された。

6月9日 (金) に Fortinet は、この脆弱性に対処するためのセキュリティ・アップデートをリリースし、今日には追加の詳細情報を開示した。

同社において、重要な脆弱性を公表する前に、パッチが適用されるのは初めてのことではない。その理由は、デバイスをリバース・エンジニアリングした脅威アクターが悪用を開始する前に、顧客によるデバイス保護の時間を確保する点にある。

6月12日 (月) に発表した報告書で Fortinet は、「我々の調査では、１つの問題 (FG-IR-23-097) が限定されたケースで悪用された可能性が判明し、顧客と緊密に連携して状況を監視している。SSL-VPN を有効化している場合には、最新のファームウェア・リリースに早急にアップグレードするようアドバイスしている。SSL-VPN を使用していない場合には、この問題によるリスクは軽減されるが、Fortinet としてはアップグレードを推奨している」と述べている。

Shodanによると、250,000 台以上の Fortigate ファイアウォールがインターネット上に公開されており、このバグが全てのファームウェア・バージョンに影響を与えることを考えると、攻撃に対して脆弱なデバイスが大量に存在するようだ。

Volt Typhoon による攻撃の可能性

先日に公表された、米国内の重要インフラ組織を標的とする Volt Typhoon 攻撃との関連について、Fortinet は明らかにしていない。しかし、この中国のサイバー・スパイ・グループが、脆弱性 CVE-2023-27997 を標的にする可能性について言及した。

同社は、「現時点においては、Volt Typhoon キャンペーンと FG-IR-23-097 を関連付けていない。しかし、Volt Typhoon キャンペーンなどを操作する脅威アクターたちが、広範で利用されているソフトウェアやデバイスの、パッチ未適用の脆弱性を攻撃し続けると予測している。そのため、Fortinet は、積極的なパッチ適用キャンペーンを通じて早急に対応し、また、継続的に問題を緩和するよう促している」と述べている。

Volt Typhoon は、インターネットに公開された Fortinet FortiGuard デバイスを、未知のゼロデイ脆弱性を介してハッキングし、広範な分野の組織のネットワークにアクセスすることで知られている。

また、この脅威クターは、複数のベンダー から提供されるルーター／ファイアウォール／VPN アプライアンスなどを侵害し、悪意のアクティビティを正当なネットワーク・トラフィックに紛れ込ませることで検知を逃れている。

今日の時点で Fortinet は、FortiOS／FortiProxy／FortiSwitchManager の認証バイパスの脆弱性である CVE-2022-40684 に対して、パッチが適用されていないデバイスが主要なイニシャル・アクセスの対象になっていると述べている。

しかし、前述の通り、新たな脆弱性が公開されると、すぐに脅威アクターたちが悪用も開始すると示唆される。

昨日である 2023/06/11 の「Fortinet Fortigate の RCE 脆弱性 CVE-2023-27997 は危険：ただちにパッチを！」でお伝えしたたばかりの、CVE-2023-27997 が、すでに悪用されているようです。その相手が Volt Typhoon とのことですが、中国由来の APT であり、米海軍のグアム基地を攻撃しているようです。こちらの記事は、Microsoft のレポートがベースになっていますが、Fortinet FortiGuard につても言及されています。よろしければ、Fortinet で検索も、ご利用ください。