Fortinet VPN のゼロデイ CVE-N/A を狙う:BrazenBamboo の戦術とは?

Chinese hackers exploit Fortinet VPN zero-day to steal credentials

2024/11/18 BleepingComputer — Fortinet FortiClient Windows VPN クライアントに存在する、ゼロデイ脆弱性を悪用する中国の脅威アクターたちは、”DeepData” というカスタムなポスト・エクスプロイト・ツールキットを用いて認証情報を盗み出している。このゼロデイ脆弱性の悪用に成功した脅威アクターは、VPN デバイスでユーザーが認証された後のメモリから、認証情報のダンプを可能にする。

今年の夏の時点で、この欠陥を発見した Volexity の研究者たちは、すでに Fortinet への報告を済ませているが、問題は未修正の状態にあり、CVE も割り当てられていないと報告している。

Volexity のレポートには、「2024年7 月18日に、この脆弱性を Fortinet に報告し、2024年7月24日に Fortinet は、この問題を認めた。このレポートの執筆時点では、この問題は未解決の状態にあり、CVE の割当も確認されていない」と説明されている。

標的は VPN 認証情報

この攻撃は、BrazenBamboo という名の中国人ハッカーにより実行されている。Windows/macOS/iOS/Android システムを標的とする監視活動において、高度なマルウェア・ファミリーを開発/展開することで、BrazenBamboo は知られる存在である。

Volexity の指摘は、LightSpy/DeepPost などの多数のマルウェアを、この脅威アクターは攻撃の一環として使用するというものだ。

LightSpy は、マルチプラットフォームのスパイウェアであり、データ収集/キーロギング/ブラウザー認証情報などを窃取し、通信を監視するものだ。DeepPost マルウェアも、侵害したデバイスからデータを盗むために使用される。

Volexity のレポートは、Windows 用のモジュール式ポスト・エクスプロイト・ツールである、DeepData に焦点を当てるものであり、複数のプラグインを用いて標的からデータを窃取する。

昨年に夏に発見された、その時点での最新バージョンの DeepData には、ゼロデイ脆弱性を悪用して認証情報 (ユーザー名/パスワード) と、VPN サーバ情報を抽出するための、FortiClient プラグインが含まれている。

DeepData は、認証情報が保存されている FortiClient のプロセス・メモリ内の、JSON オブジェクトを見つけ出して復号化し、DeepPost を介して攻撃者のサーバへと流出させる。

Information in memory targeted by DeepData (orange)
Information in memory (orange) targeted by DeepData
Source: Volexity

BrazenBamboo は、VPN アカウントを侵害することで、企業ネットワークへのイニシャル・アクセスを取得し、そこから横方向に拡散して機密システムにアクセスし、スパイ活動を拡大させていく。

Plugins seen in the latest DeepData version
Plugins seen in the latest DeepData version
Source: Volexity
FortiClient ゼロデイ

2024年7月の中旬に Volexity は、DeepData が FortiClient ゼロデイを悪用していることを 発見し、ハードコードされたメモリ・オフセットが認証情報を露出殺する、2016 年の脆弱性 (CVE なし) に似ていることを発見した。

ただし、2024年の脆弱性は独自のものであり、最新のリリースである v7.4.0 などに影響を及ぼすため、最近のソフトウェアの変更に関連している可能性が高いと示唆される。

Volexity は、「この問題は、FortiClient がメモリから機密情報を消去できないことに起因する。その結果として、メモリ上の JSON オブジェクト内のユーザー名/パスワード/VPN ゲートウェイ/ポートなどの機密情報が、消去されずに残ってしまう」と説明している。

ユーザーに対して推奨されるのは、Fortinet が欠陥を確認して、修正パッチをリリースするまでの間は、VPN アクセスを制限し、異常なログイン・アクティビティを監視することである。

最新の BrazenBamboo キャンペーンに関連する侵害の兆候は、ココで確認できる。

BleepingComputer は Fortinet に連絡し、報告されたゼロデイ脆弱性について、また、セキュリティ・アップデートについて、リリース予定の有無を尋ねたが、まだ回答は得られていない。

この Fortinet の CVE 未採番の脆弱性が、BrazenBamboo により悪用されているといいう記事は、2024/11/15 の「FortiClient のセロデイ脆弱性 CVE-N/A を悪用:BrazenBamboo APT の洗練された手口とは?」でも、紹介されています。メモリ上の JSON オブジェクト内から、機密情報が盗み出されるという問題であり、どちらも Volexity のレポートがベースですが、今回の記事の方が詳しく説明してくれています。よろしければ、Fortinet VPN で検索も、ご参照ください。