PoC Releases for 0-day CVE-2024-21762 FortiGate SSLVPN Flaw, Over 133K Remain Vulnerable
2024/03/19 SecurityOnline — FortiOS SSL VPN の重大な脆弱性 CVE-2024-21762 (CVSS:9.6) に対する、PoC (Proof-of-concept) エクスプロイト・コードが公開された。この脆弱性は、リモート・コード実行 (RCE:Remote Code Execution) につながる可能性を持ち、また、悪用を示唆する強力な証拠も発見されている。
米国のサイバー防衛局 (CISA) は、この脆弱性を積極的に悪用する攻撃を確認し、2024年2月に KEV (Known Exploited Vulnerabilities Catalog) カタログに掲載した。このことからも分かるように、この脆弱性の深刻性が高まり始めている。
Shadowserver の最近のスキャンによると、CVE-2024-21762 に対して脆弱な Fortinet FortiOS/FortiProxy セキュア Web ゲートウェイ・システムが、133,000 以上も存在しているようだ。この脆弱性の悪用に成功した攻撃者は、認証を必要とせずに脆弱なシステム上でコード実行が可能になるため、サイバー大災害につながる可能性がある。
BishopFox が開発したツールや、Lucian Nitescu がリリースした Nuclei テンプレートを使って、ユーザー・サイドにおける SSL VPN システムの脆弱性を、簡単にテストすることが可能である。今回の脆弱性に対する PoC コードが広く出回っているため、迅速にパッチ適用を行い、攻撃を防ぐことが不可欠である。
脆弱性 CVE-2024-21762 の PoC コードが公開され、広く利用可能になったことで、迅速な対応が急務となっている。 PoC コードを公開した、Assetnote のセキュリティ研究者である Dylan Pindur は、この脆弱性は FortiGate のようなネットワーク/セキュリティ・アプライアンスにおける、メモリ破壊の欠陥に起因すると指摘している。
Dylan Pindur は、「ネットワーク/セキュリティのアプライアンスには、かなり深刻なメモリ破壊の脆弱性が存在すると判明している。それは、FortiGate にとって初めてのことでもない。このような問題で明らかになっているのは、緩和策が既知であること、そして、それが適用されるかどうかという点である。スタック・カナリアは存在したが、ASLR (Address Space Layout Randomization) は存在しなかった」と述べている。
Pindur の洞察に基づき、H4x0r.DZ が提供した簡単な Python スクリプトにより、この脆弱性を悪用する攻撃者のハードルが、さらに引き下げられた。
3月17日 (UTC) の時点で Shadowserver Foundation は、FortiGate デバイスを標的とする、1つの IP からの悪用の試みが観測されたと発表しており、この脅威の即時性を強調している。
今すぐシステムを守ろう
- 直ちにパッチを適用する:全ての Fortinet FortiOS/FortiProxy デバイスを、最新のバージョンにアップグレードする。
| Version | Affected | Solution |
|---|---|---|
| FortiOS 7.4 | 7.4.0 through 7.4.2 | Upgrade to 7.4.3 or above |
| FortiOS 7.2 | 7.2.0 through 7.2.6 | Upgrade to 7.2.7 or above |
| FortiOS 7.0 | 7.0.0 through 7.0.13 | Upgrade to 7.0.14 or above |
| FortiOS 6.4 | 6.4.0 through 6.4.14 | Upgrade to 6.4.15 or above |
| FortiOS 6.2 | 6.2.0 through 6.2.15 | Upgrade to 6.2.16 or above |
| FortiOS 6.0 | 6.0.0 through 6.0.17 | Upgrade to 6.0.18 or above |
| FortiProxy 7.4 | 7.4.0 through 7.4.2 | Upgrade to 7.4.3 or above |
| FortiProxy 7.2 | 7.2.0 through 7.2.8 | Upgrade to 7.2.9 or above |
| FortiProxy 7.0 | 7.0.0 through 7.0.14 | Upgrade to 7.0.15 or above |
| FortiProxy 2.0 | 2.0.0 through 2.0.13 | Upgrade to 2.0.14 or above |
| FortiProxy 1.2 | 1.2 all versions | Migrate to a fixed release |
| FortiProxy 1.1 | 1.1 all versions | Migrate to a fixed release |
| FortiProxy 1.0 | 1.0 all versions | Migrate to a fixed release |
- SSL VPN の無効化:早急なパッチが不可能な場合は、一時的に SSL VPN を無効化してリスクを軽減する。
- 攻撃を監視する:悪用の兆候や不審な行動を、常に警戒する。
この、Fortinet FortiGate の脆弱性 CVE-2024-21762 ですが、第一報は 2024/02/09 の「CISA KEV 警告 24/02/09:Fortinet の RCE 脆弱性 CVE-2024-21762 を追加」となります。公表と同時に、CISA KEV に登録されたので、この記事を選んだという記憶があります。すでに、米連邦政府の組織内で、悪用が検出されていたのだろうと推測できます。その後には、150,000 台のデバイスが危険に晒されていると報道する記事もありました。よろしければ、Fortinet で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.