Fortinet Firewall 標的キャンペーン:4段階の侵害フェーズが明らかに

Fortinet FortiGate Firewalls Targeted in Sophisticated Campaign Exploiting Management Interfaces

2025/01/14 SecurityOnline — Arctic Wolf Labs の最新レポートが明らかにしたのは、インターネットに公開されている Fortinet FortiGate ファイアウォールの管理インターフェイスを標的とする、懸念すべきキャンペーンの内容である。この脅威アクターは、2024年11月〜12 月にかけて、複数のフェーズにわたる活動を展開した。具体的に言うと、脆弱性の悪用からコンフィグレーションの操作へと移行し、認証情報の抽出と不正アクセスを確立していた。

2024年12月初旬に、この活動の監視を開始した Arctic Wolf Labs は、FortiGate NGFW (next-generation firewall) 製品を使用する組織を標的とする、きわめて深刻な脅威を確認した。同社のレポートには、「この脅威アクターは、影響を受けるファイアウォールの管理インターフェイスにアクセスし、ファイアウォールのコンフィグレーションを変更していた。この手口で侵害した環境で、脅威アクターは DCSync を用いて、認証情報を抽出していた」と記されている。

現時点において、イニシャル・アクセス・ベクターは不明であるが、Arctic Wolf Labs は、きわめて短い時間枠の中でインシデントが発生したことを理由に、ゼロデイ脆弱性の大規模な悪用に原因であると、強い確信を持って評価している。

The CLI Console feature in the FortiGate web interface (source)

このキャンペーンは、4段階のフェーズを経て進行していた:

脆弱性スキャン:2024年11月16日~23日: 脅威アクターは、ループバック・アドレス (127.0.0.1) や、Google Public DNS (8.8.8.8) などの、一般的な DNS リゾルバーを含む偽装 IP アドレスを使用して、jsconsole インターフェース経由での管理者ログインを展開した。

偵察:2024年11月22日~27日:コンフィグレーションに対する不正な操作による、”system.console” 出力設定の編集などにより、アクセスの確認が行われ、さらなる悪用を容易にしていたと推測される。

SSL VPN コンフィグ:2024年12月4日~7日:この脅威アクターは、SSL VPN トンネルを確立し、Super Admin アカウントを作成し、既存の VPN アクセス・アカウントを乗っ取った。このレポートには、「この脅威アクターは、新しい SSL VPN ポータルの作成も行い、そこにユーザー・アカウントを追加した」と記されている。

横方向への移動:2024年12月16~27日:攻撃者は、DCSync を利用してドメイン資格情報を抽出し、横方向の移動を可能にした。ただし、このような状態への移行が始まる前に、Arctic Wolf による介入が達成された。

このキャンペーンの性質は日和見主義的なものであり、さまざまな業界のさまざまな組織を標的にし、カスタマイズされた攻撃というよりも、自動化された攻撃を展開している。

このレポートが強調するのは、いくつかの注目すべき操作である:

  • 異常な IP アドレス:ループバックやパブリック DNS リゾルバーを含む、偽装された IP から発信された jsconsole ログイン。
  • 頻繁なログインとログアウト:1秒あたりに、最大で4つのイベントを起動する、自動化されたセッション。
  • 異常なポート:4433 や 59450 などの、一般的でないポートに設定された、SSL VPN ポータル。

Arctic Wolf Labs は、「管理インターフェイスの、セキュリティ保護の重要性が強調される。この種の管理インターフェイスを、パブリック・インターネットに公開すべきではない。つまり代、管理インターフェイスへのアクセスは、信頼できる内部ユーザーだけに限定する必要がある」と述べている。

同社は、「今回の脆弱性だけではなく、将来的に発生する可能性のある脆弱性から保護するために、このようなミスコンフィグへの対処を、速やかに推進するする必要がある」と結論付けている。

この記事は、2025/01/14 の「Fortinet Firewall を侵害したキャンペーンの詳細:ゼロデイ脆弱性の悪用が入口?」に対する続報という位置づけです。この記事でも、4段階のフェーズについて触れられていましたが、今日の記事で、その内容が詳しく解説されています。まだ、続報がありそうな感じがします。よろしければ、Fortinet で検索も、ご参照ください。