Fortinet Firewall を侵害したキャンペーンの詳細：ゼロデイ脆弱性の悪用が入口？

Zero-Day Vulnerability Suspected in Attacks on Fortinet Firewalls with Exposed Interfaces

2025/01/14 TheHackerNews — Fortinet FortiGate ファイアウォールをターゲットとし、管理インターフェースがパブリック・インターネットに露出するデバイスを狙う、新たなキャンペーンについて、脅威ハンターたちが注意を喚起している。先週にサイバー・セキュリティ企業 Arctic Wolf が公開したレポートには、「このキャンペーンを分析した結果として、ファイアウォールの管理インターフェースに関連する、不正な管理者ログイン／新規アカウントの作成などが確認された。具体的に言うと、それらのアカウントを介した SSL VPN 認証や、各種のコンフィグレーション変更などが行われていた」と記されている。

この悪意のアクティビティは、2024年11月中旬に開始されたと考えられている。FortiGate ファイアウォールの管理インターフェースに、不正アクセスした未知の脅威アクターが、コンフィグを変更し、DCSync を介して資格情報を抽出した。

現時点において、正確なイニシャル・アクセス・ベクターは不明だが、きわめて短い時間枠の中で、ユーザー組織のファームウェアが侵害されたことを考えると、ゼロデイ脆弱性の悪用により発生した可能性が高いと、高い確度で評価されている。

なお、影響を受けたデバイスのファームウェア・バージョンは 7.0.14 〜 7.0.16 の範囲であり、それぞれが 2024年2月と 10月にリリースされている。

このキャンペーンで観察されたのは、2024年11月16日ころに開始された４段階の攻撃フェーズを経て、脆弱性スキャンと偵察から、コンフィグ変更と横方向の移動へと、攻撃者が進んでいく様子である。

Arctic Wolf の研究者は、「正当なファイアウォール・アクティビティと比較して、これらのアクティビティが目立つのは、通常とは異なる少数の IP アドレスから、jsconsole インターフェースを多用している点である。インフラの微妙な違いに応じた、侵入ごとの巧妙な手口を考えると、このキャンペーンには、複数の個人またはグループが関与していた可能性がある。ただし、jsconsole の使い方は、すべてにおいて共通していた」と述べている。

今回の侵入について簡単に言うなら、ファイアウォール管理インターフェースにログインした攻撃者は、初期の偵察活動の一環としてコンフィグを変更し、その出力設定を “standard” から “more” 変更した。その後の 2024年12月初旬に、さらに大規模なコンフィグ変更を行った攻撃者は、新しい Super Admin アカウントを作成した。

これらの新しく作成された Super Admin の用途は、すでに被害組織により作成されていた SSL VPN グループに、６つの新たなローカル・ユーザー・アカウントを追加することにあったと言われている。また、その他のインシデントでは、既存のアカウントが乗っ取られ、VPN アクセスを持つグループに追加されたという。

Arctic Wolf は、「この脅威アクターが、新しい SSL VPN ポータルを作成し、そこにユーザー・アカウントを追加したことも確認されている。必要な変更を行った後に、この脅威アクターは、侵害したデバイスに対する SSL VPN トンネルを確立した。それらのトンネルのクライアント IP アドレスは、少数の VPS ホスティング・プロバイダーのものだった」と指摘している。

このキャンペーンが最高潮に達したのは、SSL VPN アクセスを利用する攻撃者が、DCSync と呼ばれる手法で、横方向の移動に必要な認証情報を抽出したときだった。しかし、次の段階に進む前の攻撃者が、侵害済みの環境から排除されたことで、その最終的な目標は不明となっている。

ユーザー組織におけるファイアウォール管理インターフェースを、インターネットに公開しないことで、このようなリスクを軽減する必要がある。さらに、信頼できるユーザーたけに、アクセスを制限することも不可欠である。

Arctic Wolf は、「このキャンペーンの被害者は、特定のセクターや組織規模に限定されていない。被害者組織のプロファイルの多様性と、自動ログイン／ログアウト・イベントの出現は、この標的が意図的かつ計画的に狙われたものではなく、日和見的な性質のものであったことを示唆している」と述べている。

Fortinet Firewall に対する侵害の様子が、克明に描かれている記事ですね。現時点では特定されていませんが、なんらかのゼロデイ脆弱性が、侵入経路だと推定されているようです。おそらく、続報があるでしょう。よろしければ、Fortinet で検索を、ご参照ください。