FortiOS SSL-VPNで新たに見つかった脆弱性CVE-2022-42475を悪用している攻撃者とは?

 ネットワークセキュリティ製品のメーカーであるフォーティネット(米カリフォルニア州)は、昨年12月にアドバイザリを発出して同社製品の新たな脆弱性CVE-2022-42475を公表しました。その中で、この脆弱性がすでに悪用されていることを明らかにしていましたが、このほどエクスプロイトに関する最新の調査結果を公表しました。

任意のコードやコマンドが実行される恐れ

 脆弱性CVE-2022-42475は、リモートアクセスのためのVPN製品であるFortiOS SSL-VPNにおいて、バッファオーバーフローを利用した攻撃に対して認められる脆弱性で、この脆弱性により認証されていない第三者が細工をしたリクエストを送信することで、任意のコードやコマンドが実行される恐れがあるということです。すでに日本国内ではJPCERT/CCなどにおいて注意が喚起されており、修正済みバージョンへのアップグレードが推奨されています。

 CVE-2022-42475の深刻度は10段階中9.8です。また、CVE-2022-42475の記録が作成されたのは2022年10月7日で、フォーティーネットは昨年11月にリリースした新たなバージョンでこの脆弱性を修正しましたが、脆弱性に関する情報は明らかにしていなかったようです。しかし、その後、CVE-2022-42475を悪用した攻撃が確認されたことから昨年12月になってこの脆弱性を公表した経緯があるようです。

 フォーティーネットは1月11日にCVE-2022-42475を悪用した攻撃に関するレポートを発表しました。それによると、攻撃の痕跡が複数確認され、エクスプロイトは非常に複雑かつ高度であり、政府または政府関連の標的を狙っていることを示唆しているということです。フォーティーネットは使用されたマルウェアのサンプルを収集しており、そのマルウェアはFortiOS用にカスタマイズされた一般的なLinuxインプラントの亜種であったということです。

攻撃マシンはUTC+8タイムゾーン内にある?

 このエクスプロイトにはFortiOSとその基盤となるハードウェアに関する深い理解が必要だということです。また、FortiOS用にカスタマイズされたインプラントを使用していることからFortiOSのさまざまな部分のリバースエンジニアリングなど攻撃者が高度な技術を持っていることを示しているということです。そして、標的は政府または政府関連であることを示しているということです。さらにUTC+8タイムゾーンのマシンでコンパイルされたアーティファクトがあるということですから、攻撃はオーストラリア、中国、ロシア、シンガポール、その他東アジア諸国を含むUTC+8タイムゾーンの地域から行われた可能性があると考えられます。攻撃者の活動は午前3時から午前8時の間に行われているようですが、この点についてフォーティーネットは、ハッカーは標的の活動時間にあわせて活動することが多いとの見解を示しています。

 フォーティーネットの最新のCVE-2022-42475を悪用したエクスプロイトの分析にもとづけば、攻撃者はFortiOSを研究し尽くした高度なテクニックを有するハッカーで、アメリカ政府やアメリカ政府関連の組織を標的としており、ロシアを含む東アジアのUTC+8タイムゾーンの地域から攻撃を行っているようであり、国家を背景としたハッカーグループによる攻撃の可能性を示唆しているように感じられます。

 フォーティーネットのFortiOSのSSL-VPNの脆弱性をめぐっては、CVE-2018-13379への対策がとられていないホスト計約5万件のデータがハッカーフォーラムにあることが2020年に明らかになり騒動になったことがありました。しかし、その後も日本国内ではCVE-2018-13379への対策をとっていなかった病院が、この脆弱性を悪用されてランサムウェア攻撃を受けるなどの被害が出ました。新たに明らかになったCVE-2022-42475は10段階中9.8というリスクの高い脆弱性ですので新バージョンへのアップグレードなど早急な対応が必要です。

■出典

https://www.fortiguard.com/psirt/FG-IR-22-398

https://www.fortinet.com/blog/psirt-blogs/analysis-of-fg-ir-22-398-fortios-heap-based-buffer-overflow-in-sslvpnd

https://www.ipa.go.jp/security/ciadr/vul/alert20221213.html

https://www.jpcert.or.jp/at/2022/at220032.html

https://arstechnica.com/information-technology/2023/01/fortinet-says-hackers-exploited-critical-vulnerability-to-infect-vpn-customers/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-42475

https://www.csoonline.com/article/3659802/stealthy-linux-implant-bpfdoor-compromised-organizations-globally-for-years.html

最新情報をチェックしよう!