記事本文(要約)
Fortinetは、攻撃者がFortiGateデバイスの脆弱性を利用し、初期の侵入手段の修正後も読み取り専用のアクセスを維持できる方法を見つけたと発表しました。攻撃者は、CVE-2022-42475、CVE-2023-27997、およびCVE-2024-21762を含む既知のセキュリティ脆弱性を利用したと考えられています。攻撃は、SSL-VPNの言語ファイルを提供するフォルダ内でユーザーとルートファイルシステムを結ぶシンボリックリンクを作成することで実現されました。Fortinetはこの問題を防ぐためのソフトウェアアップデートをリリースし、影響を受けた顧客には直接通知しています。米国のCISAやフランスのCERT-FRも、影響を受けたユーザーに対し、資格情報のリセットやSSL-VPN機能の一時的無効化を推奨しています。この問題に関し、専門家は侵害が修正を超えて持続することを懸念しています。
※この要約はChatGPTを使用して生成されました。
公開日: Fri, 11 Apr 2025 23:25:00 +0530
Original URL: https://thehackernews.com/2025/04/fortinet-warns-attackers-retain.html
詳細な技術情報
- CVE番号
- 問題のリポートでは、攻撃者が以下のCVE番号に関連する既知の脆弱性を悪用したことが言及されています:
- CVE-2022-42475
- CVE-2023-27997
- CVE-2024-21762
- 問題のリポートでは、攻撃者が以下のCVE番号に関連する既知の脆弱性を悪用したことが言及されています:
- 脆弱性の仕組み
- 攻撃者は、ユーザーファイルシステムとルートファイルシステムを接続するシンボリックリンク(symlink)を使って、SSL-VPNの言語ファイルを配置するフォルダ内でのオペレーションを行いました。この操作により、攻撃者はデバイスのファイルシステムへの読み取り専用アクセス権を保持しました。この脆弱性は、SSL-VPNが有効化されていない顧客には影響しません。
- 攻撃手法
- 攻撃者は、まず既知の脆弱性を利用してデバイスにアクセスし、その後シンボリックリンクを作成することで、ファイルシステムへの持続的な読み取り専用アクセスを確立しました。このリンクは、脆弱性を修正するために適用されたパッチ後も残り、検知を逃れ、攻撃者が情報を引き続き取得する手段となりました。
- 潜在的な影響
- 影響を受けるFortiGateデバイス上の設定ファイルなど、機密情報への不正アクセス。
- 攻撃者が継続的にアクセスを維持できることで、デバイスおよびネットワーク全体のセキュリティリスクが高まる。
- SSL-VPNを有効化している環境での脆弱性の悪用。
- 推奨される対策
- 1. ソフトウェア更新: Fortinetが提供するFortiOSの最新バージョン(7.6.2, 7.4.7, 7.2.11, 7.0.17, 6.4.16)にアップデートすること。これらのバージョンでは、シンボリックリンクが自動的に削除され、SSL-VPNのUIが改修されています。
- 2. 設定の再評価: デバイスの設定を再評価し、すべての設定が潜在的に脆弱であると見なし、適切なリカバリステップを実行。
- 3. 資格情報のリセット: 公開された資格情報をリセットし、さらにSSL-VPN機能を停止することが推奨されます。
- 4. 監視とアラート設定: 不審な活動を迅速に検知できるようにデバイス上での監視とアラート設定を強化。
- その他の推奨事項
- エージェンシーと連携: 米国のCISAやフランスのCERT-FRが発行した勧告に従い、通常のセキュリティ対策に加えて、発生したインシデントの影響範囲を特定し、将来的な攻撃のリスクを軽減するために必要なステップを実行すること。
- 攻撃者活動の理解: 攻撃者が迅速な悪用を行っていること、パッチ後の環境でも継続的なアクセスを維持する手段を用いていることを念頭に置いたセキュリティ戦略の策定が求められています。
