FortiManager のゼロデイ脆弱性 CVE-2024-47575：未知の脅威グループ UNC5820 が悪用

New Threat Group UNC5820 Targets FortiManager Zero-Day CVE-2024-47575 in Global Cyberattack

2024/10/24 SecurityOnline — 10月24日に Mandiant が公開したレポートは、FortiManager アプライアンスのゼロデイ脆弱性 CVE-2024-47575 を悪用する攻撃が、複数の業界に及んでいることを警告するものだ。この脆弱性の悪用に成功した攻撃者は、欠陥のある FortiManager デバイス上で任意のコード／コマンドの実行を達成し、深刻なセキュリティ・リスクを引き起こす可能性を手にする。

Mandiant と Fortinet と共同調査が追跡してきたのは、脆弱性 CVE-2024-47575 を悪用する新たな脅威グループ UNC5820 であり、すでに 2024年6月27日の時点で、この脆弱性が悪用されていたことを明らかにしている。Mandiant は、「UNC5820 は、悪用された FortiManager の管理下にある、FortiGate デバイスのコンフィグ・データを収集し、外部に送信していた。収集されたデータには、FortiManagerと管理対象デバイスに対する、さらなる侵入を許すことになる、コンフィグ情報とユーザー認証情報が含まれていた」と説明している。

この攻撃により、グルーバルにおける 50台以上の FortiManager デバイスが影響を被っている。Mandiant は、「UNC5820 が取得したコンフィグ・データが悪用され、対象となるシステム内で横方向への移動が生じ、さらなる侵害につながったという証拠は見つかっていない」と述べている。しかし、UNC5820 が機密情報にアクセスできるのなら、FortiGate デバイスで管理されている、企業ネットワーク全体に対する攻撃が可能になるはずであり、将来において攻撃が継続される恐れが生じている。

最初の攻撃は、2024年6月27日に観測された。そのときには、複数の FortiManager デバイスのデフォルト・ポート TCP/541 を経由した、悪意の IP アドレス (45.32.41.202) からの受信接続が発生している。そして、その直後に、機密設定データを含んでいるアーカイブ・ファイルが収集された。さらに、2024年9月23日に２回目の悪用が確認され、１回目と同様の侵害の兆候があったと、Mandiant は確認している。

脅威アクターが制御するデバイスは、FortiManager システム内で登録され、Global Objects データベースに追加されることで、正規の FortiManager として偽装することが可能となる。Mandiant は、侵害の兆候として、侵害で使用された悪意の IP アドレスを公開しているが、さらなる不正アクセスの成功を示す兆候として、シリアル番号 FMG-VMTM23017412 の未承認デバイスを挙げている。

Mandiant のフォレンジック分析を実施したが、この攻撃の規模にもかかわらず、対象システムのルートファイル・システム内にあるはずの、その後の活動を示す悪意のファイルは発見されなかった。しかし、取得されたコンフィグ・データは、将来における侵害を容易にするものであり、継続的な脅威となっている。

Fortinet は Mandiant と緊密に連携し、脆弱性 CVE-2024-47575 を悪用する攻撃への緩和策を実施し、これらの攻撃に対応している。Mandiant がユーザー組織に対して強く推奨しているのは、FortiManager デバイスへのアクセスを制限し、未承認の FortiGate アドレスからの通信を遮断することだ。

すでに Fortinet は、バージョン 7.2.5／7.0.12／7.4.3 でパッチをリリースし、この脆弱性に対応している。

FortiManager アプライアンスをインターネットに露出させている組織に対して、Mandiant が強く勧告しているのは、直ちにフォレンジック調査を実施することである。

この FortiManager の脆弱性 CVE-2024-47575 については、2024/10/23 の「Fortinet FortiManager の脆弱性 CVE-2024-47575 が FIX：積極的な悪用を検出」が、第一報となっています。なお、関連情報としては、2024/10/13 の「Fortinet の RCE 脆弱性 CVE-2024-23113：日本におけるインターネット露出は 5,100台」もあります。よろしければ、FortiManager + 悪用で検索と併せて、ご参照ください。

Share this: