フォーティネット、公開インターフェースを持つファイアウォールを狙ったゼロデイ攻撃について警告

サイバーセキュリティ企業のフォーティネットは、管理インターフェースが露出している FortiGate ファイアウォール デバイスを狙ったゼロデイ脆弱性攻撃キャンペーンが活発化していることについて警鐘を鳴らしました。未知の脅威アクターによる攻撃とされるこれらの攻撃は、世界中の組織に混乱をもたらし、露出しているインフラストラクチャのセキュリティ保護が極めて重要であることを浮き彫りにしました。

キャンペーンの詳細: 攻撃がどのように展開したか

2024 年 11 月中旬に始まったこの悪意ある活動は、まだ特定されていない初期アクセス ベクトルを利用してファイアウォール管理インターフェイスを侵害します。Arctic Wolf のサイバー セキュリティ研究者は、急速な拡散と影響を受けるファームウェア バージョンを考慮すると、攻撃者がゼロデイ脆弱性を悪用したと考えています。7.0.14 から 7.0.16 のファームウェア バージョンを実行しているデバイスが特に標的となりました。

攻撃者は計算された 4 段階の戦略を実行しました。

1. 偵察とスキャン– 自動化ツールと異常な IP を使用して脆弱なデバイスを特定します。
2. 構成操作- 情報収集を支援するために出力設定を変更します。
3. 権限昇格- スーパー管理者アカウントを作成し、既存のユーザー アカウントを変更します。
4. エクスプロイトと資格情報の収集- SSL VPN トンネルを確立し、DCSync 技術を使用して資格情報を抽出し、横方向に移動させます。

攻撃者によるjsconsoleインターフェイスの使用と、仮想プライベート サーバー (VPS) ホスティング プロバイダーからの VPN トンネルは、一貫して侵害の兆候を示していました。

フォーティネットが重大な脆弱性を確認

2025 年 1 月 14 日、Fortinet は FortiOS と FortiProxy に影響を及ぼす重大な認証バイパスの脆弱性である CVE-2024-55591 の詳細を公開しました。CVSS スコアは 9.6 で、この脆弱性により、攻撃者は Node.js WebSocket モジュールを悪用してスーパー管理者権限を取得できます。

影響を受けるバージョン

• FortiOS : 7.0.0 から 7.0.16 (7.0.17 以降でパッチ適用済み)
• FortiProxy : 7.0.0 から 7.0.19 および 7.2.0 から 7.2.12 (それぞれ 7.0.20 および 7.2.13 でパッチ適用済み)

Fortinet は、顧客に対し、直ちにアップデートを適用し、疑わしいアクティビティを監視するようアドバイスしました。組織は、管理インターフェースの露出を制限し、信頼できるユーザーのみにアクセスを制限するよう強く勧められています。

CISA アクション: 緩和に向けた取り組み

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) は、CVE-2024-55591 を既知の脆弱性 (KEV) カタログに追加しました。連邦政府機関は、2025 年 1 月 21 日までにこの脆弱性に対処する必要があります。

緩和策の推奨事項

Fortinet 製品を使用している組織は、リスクを軽減するために次の手順を実行する必要があります。

1. ファームウェアの更新– Fortinet のアドバイザリで指定されているように、FortiOS および FortiProxy の最新のパッチを適用します。
2. 管理インターフェイス アクセスの制限– 管理インターフェイスへのパブリック アクセスをブロックし、リモート管理に VPN を使用します。
3. ログを監視する– 侵害の兆候となる異常なログインや構成の変更を探します。
4. MFA を有効にする– すべての管理アカウントに対して多要素認証を強制します。

機会主義的な標的攻撃は警戒の必要性を浮き彫りにする

この攻撃の範囲と被害者のプロファイルが明確に示されていないことから、意図的な選択ではなく、日和見的な標的設定が示唆されます。自動ログイン/ログアウト アクティビティと多様な被害者像から、あらゆる規模と業種の組織で堅牢なセキュリティ対策の必要性が強調されます。

ゼロデイ攻撃がますます巧妙化しているため、進化する脅威に対する防御には、タイムリーなパッチ適用、露出の制限、ネットワークの警戒の維持が依然として重要です。