記事本文(要約)
QilinランサムウェアがFortinetの2つの脆弱性を悪用し、認証を回避してリモートで悪意のあるコードを実行する攻撃に加わった。このランサムウェアは2022年8月に「Agenda」として登場し、これまでに310以上の被害者を確認している。標的には、高名な企業や医療機関が含まれ、特にスペイン語圏の国々で攻撃が集中しているが、将来的には世界的な拡大が予想される。
PRODAFTの調査によると、攻撃にはCVE-2024-21762やCVE-2024-55591などのFortiGateの脆弱性が利用されており、特に後者は以前にもゼロデイ攻撃として利用された実績がある。CVE-2024-21762はすでにパッチが提供され、CISAによりアクティブな脅威として警告されているが、多くのデバイスが未だに脆弱である。
こうしたFortinetの脆弱性は、サイバースパイ活動やランサムウェア攻撃で頻繁に悪用されており、過去には中国のVolt Typhoonグループが使用したこともある。
※この要約はChatGPTを使用して生成されました。
公開日: Fri, 06 Jun 2025 09:53:40 -0400
Original URL: https://www.bleepingcomputer.com/news/security/critical-fortinet-flaws-now-exploited-in-qilin-ransomware-attacks/
詳細な技術情報
以下に、提供された文章のセキュリティに関する詳細情報を分析して説明します。
CVE番号と脆弱性の仕組み
- CVE-2024-55591:
- 概要: FortiGateファイアウォールの認証を回避し、リモートで悪意のあるコードを実行する脆弱性です。この脆弱性は以前からゼロデイとして他の脅威グループによっても利用されていました。
- 仕組み: ファイアウォールの認証バイパスにより、不正アクセスを可能にし、その後リモートコード実行を許す可能性があります。
- CVE-2024-21762:
- 概要: FortiOSとFortiProxyデバイスに存在する脆弱性で、認証の回避およびリモートでのコード実行が可能です。
- 仕組み: この脆弱性も同様に認証バイパスを介して攻撃者がシステムに不正アクセスし、その後悪意のあるコードを実行するために利用されます。
攻撃手法
- QilinランサムウェアはRaaS(Ransomware-as-a-Service)として提供されており、組織に対してランサムウェア攻撃を自動化して展開します。
- 攻撃者はまず脆弱なFortinetデバイスに不正アクセスし、その後ランサムウェアを展開してシステムを暗号化します。
潜在的な影響
- 暗号化されたシステムへのアクセス不能、業務停止。
- 対象とされた高プロファイル企業(Yangfengなど)のような広範囲なサービス停止。
- 医療機関などの重要なインフラストラクチャへの影響、例えばNHS病院では多くの予定や手術がキャンセルされました。
推奨される対策
- アップデートとパッチの適用:
- Fortinetのデバイスに対して、最新のセキュリティ・パッチを適用し、特にCVE-2024-21762の修正を含むアップデートを必ず実行します。
- ネットワーク・セキュリティ強化:
- ファイアウォールとVPN設定を再評価し、認証バイパスや未許可のリモートアクセスを防ぐための強化策を講じます。
- インシデント対応計画:
- 迅速な対応が可能なインシデント対応計画を整備し、特にランサムウェア攻撃に特化したシナリオを考慮します。
- 監視とアラート:
- 疑わしい活動の監視を強化し、自動アラート機能を有効にすることで早期検知を可能にします。
- 社員教育:
- フィッシング対策ならびにセキュリティ意識を高めるためのトレーニングを実施し、攻撃ベクトルの削減に努めます。
