Qilin ランサムウェア：FortiGate の脆弱性 CVE-2024-21762／55591 を悪用

Attackers exploit Fortinet flaws to deploy Qilin ransomware

2025/06/06 SecurityAffairs — 2025年5月〜6月に Qilinランサムウェア (別名 Phantom Mantis) グループが、FortiGate の脆弱性 CVE-2024-21762／CVE-2024-55591 などを悪用し、複数の組織を標的にしていると、脅威インテリジェンス企業 PRODAFT が警告している。同社が発表したレポートには、「Phantom Mantis は、2025年5月から6月にかけて、複数の組織を標的とする組織的な侵入キャンペーンを展開している。イニシャル・アクセスで悪用されるのは、FortiGate の脆弱性 CVE-2024-21762／CVE-2024-55591 などである」と記載されている。

Qilin ランサムウェア・グループは、遅くとも 2022年8月から活動しているが、2024年6月に英国政府の医療サービス・プロバイダー Synnovis を攻撃したことで、注目を集めるに至った。通常において、このグループは二重恐喝を駆使し、被害者のデータを窃取して暗号化した後に、身代金を支払わなければデータを公開すると脅迫している。

現時点において、このランサムウェア・グループは、FortiGate の脆弱性を悪用してスペイン語圏の組織を標的にしているが、今後は世界規模に拡大する可能性があると、専門家たちは警告している。このグループは、特定の地域から標的を選んでいるようだが、地域や業種ではなく、機会を捉えて被害者を選んでいるようにも見えるという。

2024年2月の時点で Fortinet は、FortiOS SSL VPN に存在する、深刻なリモート・コード実行脆弱性 CVE-2024-21762 (CVSS：9.6) が、実際に攻撃で悪用されていると警告していた。同じころに米国の CISA も、この脆弱性を KEV カタログに追加している。

そして 2025年3月になり、Forescout Research – Vedere Labs の研究者たちが報告したのは、1月〜3月にかけて、この脅威アクターが Fortinet の２つの脆弱性を悪用し、SuperBlack ランサムウェアを展開したことだ。

これらの攻撃は、ロシア語のアーティファクトを使用し、独自の運用シグネチャを持つ、Mora_001 という脅威アクターによるものだと、専門家たちは指摘している。また、彼らは、Mora_001 が LockBit エコシステムと関連している可能性があると推測している。それが示唆するのは、ランサムウェア攻撃の複雑さと混沌である。

漏洩した LockBit ビルダーを用いる Mora_001 は、Forescout が SuperBlack ランサムウェアとして追跡している暗号化ツールを作成し、LockBit のブランドをすべて削除しているという。

その一方で、Mora_001 は、独立した脅威アクターとして追跡されており、ユーザー名／IP／48時間以内の迅速なランサムウェア展開などなどが、被害者間で共通するという、エクスプロイト後の一貫した戦術が見てとれる。

身代金要求メッセージでは、LockBit と共通する TOX ID が使用されており、LockBit との関連性が示唆される。しかし、構造化されたプレイブックと独自の運用パターンからして、独立した侵入能力を持つ、別の組織であることが判明している。

CISA は、脆弱性 CVE-2025-24472 が、ランサムウェア攻撃で悪用されていることを確認している。

脆弱性 CVE-2024-55591 は、代替のパス／チャネルの使用を許す認証バイパスの脆弱性 [CWE-288] であり、FortiOS のバージョン 7.0.0～7.0.16 および、FortiProxy バージョン 7.0.0～7.0.19／7.2.0～7.2.12 に影響を及ぼすものだ。この脆弱性を悪用するリモート攻撃者は、Node.js WebSocket モジュールへ向けた悪意のリクエストを介して、スーパー管理者権限を取得する可能性を手にする。

Fortinet のアドバイザリには、「FortiOS／FortiProxy に影響を及ぼす代替パス／チャネルを介した認証バイパスの脆弱性 [CWE-288] により、リモート攻撃者は Node.js Websocket モジュールへの細工されたリクエスト、または、細工された CSF プロキシリクエストを介して、スーパー管理者権限を取得する可能性がある。また、報告によると、この問題は実際に悪用されている事例があることに注意してほしい」と記されている。

これらの脆弱性を悪用する脅威アクターは、不正な管理者またはローカル・ユーザーの作成／ファイア・ウォール・ポリシーの変更／SSL VPN を介した内部ネットワークへのアクセスを可能にするという。

Qilin ランサムウェアですが、新たな脆弱性の悪用により活発化しているようです。FortiGate 製品の脆弱性を狙う攻撃が実際に進行中とのことなので、ご利用のチームは、十分に ご注意ください。よろしければ、Fortinet で検索も、ご参照ください。