Fortinet Uncovers Threat Actor Persistence via Symbolic Link Exploit in FortiGate Devices
2025/04/14 SecurityOnline — サイバー・セキュリティ・コミュニティへの緊急アラートとして Fortinet が発表したのは、FortiGate アプライアンスの既知の脆弱性を悪用する、脅威キャンペーンの活発な展開に関する詳細である。このキャンペーンでは、セキュリティ・アップデート適用が実施された後であっても、不正な読み取り専用アクセスを可能にする、新たなポスト・エクスプロイトの手法が用いられている。Fortinet の CISO である Carl Windsor は、「最近のインシデントにより、既知の脆弱性が悪用されるという事例が活発に発生している。この問題が、ますます注目を集めている」と述べている。
Fortinet の調査により、以下の既知の脆弱性が、攻撃者により悪用されていたことが判明した。
これらの、すでに公開されている脆弱性に対しては、修正プログラムが適用されていたが、この新たな永続化手法を用いる攻撃者により、アップデートされたデバイスであっても、ファイル・システムへの読取り専用アクセスが維持されていたという。
この攻撃者は、ユーザー・ファイルシステムとルート・ファイル・システムの間にシンボリックリンクを作成し、それを言語ファイルを提供するフォルダ内に埋め込むことで、SSL-VPN 機能を悪用した。このシンボリック・リンクはファームウェアのアップグレード後も有効であり、攻撃者はデバイス上のコンフィグ・ファイルなどに受動的にアクセスできていたという。
Fortinet のレポートには、「この変更は、ユーザー・ファイル・システム内で行われ、検出を回避していた。それにより、脅威アクターは読取り専用アクセスを維持できた」と記されている。
注目すべきは、SSL-VPN を有効化したことがないユーザーは、この悪用の手法の影響を受けないことだ。
Fortinet の指摘は、このキャンペーンの対象が、特定の地域や業界に限定されていないことにある。つまり、この攻撃者は世界中のインフラをカバーするかたちで、時代遅れの FortiGate デバイスを捉えて、大規模に悪用する機会を得ようとしているようだ。
同社のレポートは、「我々のデータによると、この脅威アクターの活動は、特定の地域や業界を標的としていないと示される」と警告している。
今回の発見の後に、ユーザーに対する通知と並行して、Fortinet は PSIRT を立ち上げ、悪意のシンボリックリンクを検出/削除するための、AV/IPS シグネチャとファームウェア・アップデートを開発した。
緩和策は以下のとおりである。
- AV/IPS の検出とクリーニング
- FortiOS 7.6.2/7.4.7/7.2.11/7.0.17/6.4.16 のファームウェア・アップデート
- 悪意のあるファイル配信を防止するための SSL-VPN インターフェイスのアップデート
Fortinet はユーザーに対して、すべてのコンフィグを確認し、侵害の可能性があるものとして扱うようアドバイスしている。また、このプロセスを支援するために、段階的な復旧ガイドを提供している。
SSL-VPN 機能を利用し、パッチ適用後も読み取り専用のアクセスを維持していることが明らかになりました。ご利用のチームは、アップデート情報および緩和策を、ご確認ください。なお、この件の第一報は 2025/04/11 に投稿した「Fortinet からの警告:2023年の攻撃で仕込まれたポスト・エクスプロイト手法の生存」となります。よろしければ、CVE-2022-42475 で検索/CVE-2023-27997 で検索/CVE-2024-21762 で検索と併せて、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.