New Fortinet RCE bug is actively exploited, CISA confirms
2024/02/09 BleepingComputer — 2月9日に CISA が発表したのは、 その前日である 2月8日に、Fortinet がパッチをリリースした深刻なリモート・コード実行 (RCE:Remote Code Execution) の脆弱性が、攻撃者に積極的に悪用されているというものだ。悪用が確認されたのは、FortiOS における境界外書き込みの脆弱性 CVE-2024-21762 であり、認証されていない攻撃者が、悪意を持って細工した HTTP リクエストを使用して、リモートで任意のコードを実行する可能性があるとされる。
脆弱なアプライアンスにパッチを適用するための、セキュリティ・アップデートを直ちに導入できない場合には、対象デバイスの SSL VPN を無効化することで、攻撃ベクターを取り除くことができる。
Fortinet によるセキュリティ・アドバイザリでは、この脆弱性が潜在的に悪用されていると警告されていたが、その翌日に、CISA の発表が行われた。
Fortinet は、CVE-2022-48618 に関する詳細をまだ明らかにしていない。しかし CISA は、この種の脆弱性は脅威アクターにとって頻繁な攻撃ベクターであり、連邦政府機関に重大なリスクをもたらすとして、この脆弱性を KEV (Known Exploited Vulnerabilities Catalog) カタログに追加した。
さらに CISA は、2021年11月に発行された拘束力のある運用指令 (BOD 22-01) で義務付けられている通り、7日以内の 2024年2月16日までに FortiOS デバイスを保護するよう、米連邦政府機関に要請している。
混乱を招いた情報開示
2月8日のリリースにおいて Fortinet は、FortiSIEM ソリューションの別の RCE 脆弱性 CVE-2024-23108/CVE-2024-23109 にも、パッチを適用した。
これらの脆弱性に関する、Fortinet の一連の開示プロセスは、きわめて混乱を招きやすいものだった。パッチが公開された当時、同社は、これらの新しい CVE の存在を否定しており、2023年10月に修正された脆弱性 CVE-2023-34992 と同一のものであると主張していた。
しかし、CVE-2024-23108/CVE-2024-23109 は、Horizon3 の脆弱性の専門家である Zach Hanley により、新たに発見/報告されたものだと判明した。最終的に Fortinet は、これらの脆弱性が CVE-2023-34992 の亜種であることを認めた。
Fortinet の脆弱性 (ゼロデイと呼ばれることが多い) は、サイバー・スパイ攻撃やランサムウェア攻撃で、企業ネットワークへの侵入のためによく狙われる。
2月7日にも、 Fortinet FortiOS SSL VPN の脆弱性 CVE-2022-42475/CVE-2023-27997 が、中国のハッキング・グループ Volt Typhoon により悪用され、Coathanger カスタム・マルウェアを展開する攻撃に組み込まれたことが、Fortinet から発表されている。
Coathanger とは、Fortigate ネットワーク・セキュリティ・アプライアンスを標的とする RAT (Remote Access Trojan) であり、最近では、オランダ国防省の軍事ネットワークにバックドアを仕掛けるために悪用されていた。
FortiOS の境界外書き込みの脆弱性 CVE-2024-21762 が、 2月9日付で CISA KEV に登録されました。すでに、米政府機関において悪用が確認されたと判断すべき状況ですので、ご注意ください。なお、文中でも解説されている FortiSIEM の脆弱性に関しては、2024/02/05 の「Fortinet FortiSIEM の脆弱性 CVE-2024-23108/CVE-2024-23109 が FIX:直ちにパッチを!」を、Fortinet で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.