フォーティネット社(米カリフォルニア州)は、同社が提供するセキュリティ管理プラットフォームでフォーティネットのネットワークセキュリティ製品を一元管理し自動化するFortiManagerのゼロデイ脆弱性を公表しました。この脆弱性はCVE-2024-47575として登録され、深刻度は10点中9.8です。
マンディアントがUNC5820として追跡
この脆弱性により脅威アクターが制御するFortiManagerを使って、脆弱なFortiManagerデバイスに対して任意のコードやコマンドを実行できるようになるということです。フォーティネットは「この脆弱性は悪用されているようだ」とし、実際に確認されている攻撃のアクションとして、管理対象デバイスのIP、資格情報、およびさまざまなファイルをFortiManagerからスクリプト経由で自動的に抽出するというものだとしている。一方で侵害された FortiManagerシステムにマルウェアやバックドアがインストールされたり、データベースが変更された兆候や、管理対象デバイスへの接続や変更があったという兆候はないとしています。
マンディアントは2024年6月27日に新たな脅威アクターがFortiManagerの脆弱性を悪用していることを確認しているということです。マンディアントはこの脅威をUNC5820として追跡しているということです。マンティアントは、FortiManager がインターネットに公開されている可能性がある組織や企業は直ちにフォレンジック調査を実施することを勧告しています。
JPCERT/CCは「認証されていない遠隔の第三者が、細工されたリクエストを送信し、任意のコードまたはコマンドを実行する可能性がある」としてCVE-2024-47575に対する注意喚起と情報提供を行っています、また、JPCERT/CCによると、フォーティネットは今年2月8日に公開したアドバイザリ(FG-IR-24-029)を10月11日に更新し、fgfmdに関するCVE-2024-23113脆弱性の悪用の可能性に言及しているということです。CVE-2024-23113は今年2月に登録されたFortiOSの脆弱性で、認証されていない攻撃者が特別に作成されたリクエストを介してリモートで任意のコードやコマンドを実行できる可能性があるというものです。
既知の脆弱性CVE-2024-23113も悪用される
このCVE-2024-23113に関しては米CISA〈サイバーセキュリティ・インフラストラクチャセキュリティ庁)が今月9日に「既知の悪用された脆弱性カタログ」に追加したことを明らかにしています。よってCVE-2024-23113による攻撃も確認されているということなのですが、フォーティネット製品の既知の脆弱性であるCVE-2024-23113を悪用した攻撃とゼロティ脆弱性であるCVE-2024-47575を悪用した攻撃が関連したものなのか、それぞれ別の攻撃なのかは明らかでなくフォーティネットや各機関からの今後の情報に注視する必要があります。
また、JPCERT/CCは関連情報として「2024年10月23日、海外セキュリティ研究者が、Fortinet製FortiManagerに意図しないFortiGateが接続される問題を指摘するブログ記事を公開しており、同研究者がハニーポットとして運用するFortiManagerに、意図しないFortiGateが登録されたことを言及しています」として同ブログへのリンクを貼っています。
このブログはサイバーセキュリティ研究者、ケビン・ボーモント氏によって「FortiManagerの脆弱性が国家によるMSP経由のスパイ活動に利用される」とのタイトルで書かれたもので、MSP (マネージド サービス プロバイダー) は FortiManager を使用することが多いとして、MSP経由で攻撃が行われる可能性を示唆しています。
■出典
https://www.fortiguard.com/psirt/FG-IR-24-423