Fortinet Confirms Zero-Day Exploit Targeting FortiManager Systems
2024/10/23 SecurityWeek — Fortinet の新たなゼロデイ脆弱性が、実際に悪用されている状況が発見された。10月23日 (水) に、米国政府のサイバー・セキュリティ機関である CISA は、Fortinet FortiManager プラットフォームに存在する深刻な脆弱性に関する緊急注意を喚起し、すでにリモートのハッカーがコード実行に達していることを警告した。同社は、FortiManager fgfmdデーモンに存在する脆弱性 CVE-2024-47575 (CVSS:9.8) について、重要な機能に対する認証の欠落の脆弱性だと記述している。
Fortinet のアドバイザリによると、このバグを悪用する未認証のリモート攻撃者は、特別に細工されたリクエストを介して、任意のコードまたはコマンドを実行できるようになるという。
同社は、「この脆弱性に関する、実際の悪用が報告されている。この攻撃で確認された活動は、FortiManager 上の各種ファイルを、悪意のスクリプトを介して自動的に抽出するものである。それらのファイルに含まれるものには、管理対象デバイスの IP/認証情報/コンフィグが含まれていた」と付け加えている。
その一方で Fortinet は、「当社が知る限り、侵害された FortiManager システムに対して、マルウェアやバックドアがインストールされたという報告は受けていない。データベースの改変や管理対象デバイスへの接続などの兆候は見られない」と述べている。
すでに Fortinet は、FortiManager のバージョン 7.0/7.2/7.4/7.6 用のパッチを用意している。したがって、ユーザーに対して推奨されるのは、複数の製品ラインにおける修正バージョンへと、ただちにアップグレードすることだ。
さらに Fortinet は、IP ホワイトリストを実装することで露出を制限する、IOC と技術的な回避策を公開し、証明書ベースの認証を有効化することを推奨している。
その一方で、すでに影響を受けているユーザーが求められるのは、認証情報のリセットに加え得て、侵害日以降における不正なアクティビティの兆候を、ログの徹底的な監査により追跡することである。
CISA の KEV カタログには、少なくとも Fortinet ゼロデイ脆弱性が8件が登録されている。具体的に言うと、FortiOS SSL-VPN/FortiOS/FortiOS sslvpnd などにおける深刻なセキュリティ・ホールが含まれる。
FortiManager は、ネットワーク管理とセキュリティ運用に使用される、エンタープライズ向けの製品である。
この Fortinet FortiManager の脆弱性 CVE-2024-47575 ですが、お隣のキュレーション・チームによると、公表されたのは 10月23日前後とのことです。つまり、脆弱性の発見と同時に、もしくは、それ以前から悪用されていたことになります。また、ほぼ同じタイミングで CISA KEV にも登録され、米政府機関での悪用も証明されるという事態になっています。ご利用のチームは、十分に ご注意ください。よろしければ、Fortinet で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.