新しいSuperBlackランサムウェアがFortinetの認証バイパスの脆弱性を悪用

Security

公開日: Thu, 13 Mar 2025 15:57:33 -0400

記事のジャンル: Security

Original URL: https://www.bleepingcomputer.com/news/security/new-superblack-ransomware-exploits-fortinet-auth-bypass-flaws/

記事本文(要約)

新しいランサムウェアオペレーター「Mora_001」が、Fortinetの脆弱性CVE-2024-55591とCVE-2025-24472を悪用し、ファイアウォール機器に不正アクセスしてカスタムランサムウェア「SuperBlack」を展開しています。これらの脆弱性は認証回避に関するもので、2024年1月および2月にFortinetが公表しました。特にCVE-2024-55591はゼロデイとして悪用されていましたが、CVE-2025-24472に関してはFortinetが2月に遂に悪用を認めましたが、当初は悪用されていないと説明していました。

Mora_001は、Fortinetの脆弱性を悪用して「super_admin」権限を取得し、新しい管理アカウントを作成するなどの攻撃手順を展開します。これにより、ネットワーク内のデータを暗号化し、ダブルエクストーション(データ漏洩と暗号化の両方で恐喝)を行います。攻撃の後半には「WipeBlack」というワイパーを使用して、ランサムウェアの痕跡を消去します。

また、SuperBlackランサムウェアとLockBitランサムウェアとの関連が指摘されています。SuperBlackにはLockBit 3.0の漏洩したビルダーに基づく暗号構造が使われており、ランサムノートにはLockBitに関連するTOXチャットIDが記載されています。さらに、ネットワーク上で使用されたIPアドレスに重複が見られることなどから、関連性が疑われています。ForescoutはSuperBlack攻撃に関連する妥当性指標(IoC)のリストを報告書に掲載しています。

※この要約はChatGPTを使用して生成されました。

詳細な技術情報

  • CVE番号と脆弱性の仕組み
    • 1. CVE-2024-55591
      • 脆弱性の種類: 認証バイパス
      • 概要: Fortinetのファイアウォール製品で、ゼロデイとして公開され、2024年11月から攻撃に利用されていた。
    • 2. CVE-2025-24472
      • 脆弱性の種類: 認証バイパス
      • 概要: 最初は未利用と報告されていたものの、2025年2月にForescoutによって実際の攻撃利用が確認された。
  • 攻撃手法
    • 攻撃者: Mora_001
    • 手法:
      • 1. WebSocketを利用したjsconsoleインターフェースや、直接のHTTPSリクエストを通じて脆弱性を悪用。
      • 2. ‘super_admin’権限を取得し、管理者アカウントを作成または変更。
      • 3. ネットワークのマッピングと横移動を実行。VPN認証情報、Windows Management Instrumentation (WMIC)、SSH、TACACS+/RADIUSを利用。
      • 4. 認証情報を盗み、カスタムツールでデータを奪取。
      • 5. ランサムウェアでファイルを暗号化し、二重恐喝(データの公開とデータの復元を条件に金銭を要求)を実行。
      • 6. WipeBlackを使用して証拠を消去。
  • 潜在的な影響
    • 組織のセキュリティ侵害: 特にファイルサーバー、データベースサーバー、ドメインコントローラーがターゲット。
    • データ漏洩および金銭的損失: 機密情報の漏洩とランサムウェアによる金銭的要求。
    • フォレンジック分析の困難化: WipeBlackによる後処理で証拠が消去され、侵入の追跡が困難。
  • 推奨される対策
    • 1. 脆弱性対応:
      • CVE-2024-55591およびCVE-2025-24472に関するFortinetのセキュリティパッチを速やかに適用する。
      • Fortinetからのアドバイザリを頻繁に確認し、最新情報を常に把握。
    • 2. アクセス制御の強化:
      • 外部からの管理インターフェースへのアクセスを防ぐため、ファイアウォールルールを見直す。 – 強固なパスワードポリシーおよび多要素認証を導入し、認証情報の強化を行う。
    • 3. 監視と検出:
      • ネットワークトラフィックを監視し、異常な振る舞いや不正なアクセスを早期に検出する。
      • Forescoutが提供するインジケーターオブコンプロマイズ(IoC)を用いて、既知の攻撃者指標を監視。
    • 4. バックアップと復旧計画:
      • 定期的なデータバックアップと復旧計画を確認する。
      • バックアップデータはランサムウェアの影響を受けないように別のネットワークに隔離。
  • 追加情報
    • リンクと関係: SuperBlackは、LockBitとの関連性が見られ、TOXチャットIDやIPアドレスの重複が示されている。攻撃者の可能性として、LockBitの元メンバーまたはアフィリエイトの関与が考えられる。 これらの詳細をもとに、防御策の見直しや脆弱性管理の強化が求められます。情報セキュリティチームとIT部門は、脅威の動向を常に監視し、即時対応できる体制を整備する必要があります。