50社が攻撃を受けたFortinetのゼロデイ脆弱性、その危険性とは？

Fortinet製品で見つかったゼロデイ脆弱性が即座に犯罪者の攻撃対象となった。被害を受けた企業は50社以上に及び、なお広がり続けている模様で、即座に対策を施すべきだ。このことから何が学べるだろうか。

[Matt Kapko，Cybersecurity Dive]

　サイバーセキュリティとネットワーク関連サービスを提供するFortinet製品に危険なゼロデイ脆弱（ぜいじゃく）性が見つかった。犯罪者はすでにこの脆弱性を悪用しており、50社以上に被害が出ている模様だ。

Fortinetのゼロデイ脆弱性はどう危ないのか？

　セキュリティ研究者や政府当局によると、攻撃者はFortinetの「FortiManager」で見つかったゼロデイ脆弱性を積極的に悪用しているという。FortiManagerはネットワークやセキュリティを集中管理するツールだ。

　Fortinetは2024年10月23日に発表したセキュリティ勧告で、問題の脆弱性「CVE-2024-47575」を公表した（注1）（注2）。この脆弱性は共通脆弱性評価システム（CVSS）におけるスコアが9.8と高い。

　セキュリティ事業を営むMandiantは、2024年10月23日に「2024年6月27日の最初の悪用から現在までに、さまざまな業種における少なくとも50の組織が影響を受けた」と述べた（注13。

　発表の数時間後、サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）はこの脆弱性を脆弱性カタログKEV（Known Exploited Vulnerabilities）に追加した（注4）。

CISAはどのような基準で脆弱性を分類しているのか

　脆弱性の報告は数多い。その中でCISAはCVE識別子が付けられており、さらに実際に悪用されたという証拠がある脆弱性だけをまず選択する。その脆弱性に重大なリスクがあり、影響が大きいと判断した場合に脆弱性カタログに追加する。追加された脆弱性について修正方法や対策が明確に示されていなければならないという条件もある（キーマンズネット編集部）

　CISAはもちろん、Fortinetも影響を受けたユーザーの数やこの脆弱性が悪用されたことを認識した時期を明らかにしていない。

　Mandiant ConsultingのCTO（最高技術責任者）のチャールズ・カーマカル氏は、2024年10月23日に次の内容をLinkedInに投稿した（注5）。

　「これまでに観察された悪用事例は自動化されたものであり、複数の被害者に共通するもののように見える。大規模なキャンペーンの大半では、一部の被害者に対して第二段階の攻撃が続く」

　この脆弱性はFortiManagerのfgfmdデーモンで認証プロセスがスキップされてしまうというものだ。つまり、リモートの認証されていない攻撃者が任意のコードやコマンドを実行できてしまう。Fortinetによると、FortiManagerのアプライアンスで管理されていたFortiGateデバイスのIPや認証情報、設定データなどが盗まれたという。

Fortinet製品の脆弱性発見が相次ぐ

　Fortinetの製品に関連する重大な脆弱性が相次いで発見された。今回の一連の攻撃は、これらの脆弱性を悪用した2つ目の事例だ。2024年10月の初めに、連邦当局とセキュリティ研究者はユーザーに対して「Fortinetの4つの製品に存在する形式文字列に関連する重大な脆弱性『CVE-2024-23113』の悪用が進んでいる」と警告した（注6、注7）。

　2024年10月初めからFortinetと協力して悪質な活動の範囲を調査しているMandiantは、一連の攻撃を「大規模な悪用」と表現した。攻撃の背後にいる脅威グループの動機と起源は依然として不明だ。

　Mandiantは、盗まれたデータがFortiManagerのさらなる侵害に利用され、より広範な企業環境への横展開につながるかもしれないと警告している。

　Fortinetの広報担当者によると、同社は脆弱性を特定した後、ユーザーと速やかに連絡を取ったという。広報担当者は「攻撃者を含む広範囲の組織に情報が公開される前に、ユーザーがセキュリティを強化できるように、責任ある情報公開の手順とベストプラクティスに沿った対応を実施した」と述べた。

　Fortinetはユーザーに対し、ソフトウェアアップデートを通じて脆弱性を修正するよう助言し、侵害の指標と軽減のための手順を共有した。複数のバージョンのFortiManagerと「FortiManager Cloud」が影響を受けているからだ。

　Fortinetは勧告で次のように述べている。

　「現時点では、これらの侵害されたFortiManagerのシステムにマルウェアやバックドアがインストールされたという報告は受けていない。私たちの知る限り、データベースの改ざんや管理対象のデバイスへの接続や変更の痕跡も見られていない」

セキュリティ機器自体を狙う攻撃が続く

　実はこの一連の悪用や企業ネットワークにおける情報露出は、複数のベンダーのセキュリティ機器に存在する脆弱性を狙った攻撃の一部だ。

　過去数年にわたり、金銭目的の攻撃者や国家に関連する攻撃者が、BarracudaやCitrix Systems（注8、注9）、Fortinet（注10）、Ivanti（注11）、Palo Alto Networks（注12）、SonicWallが販売するネットワークエッジデバイスの脆弱性を広範囲に悪用してきた（注13）。

出典：Fortinet zero-day attack spree hits at least 50 customers（Cybersecurity Dive）

注1：Missing authentication in fgfmsd（FortiGuard Labs）
注2：CVE-2024-47575 Detail（NIST）
注3：Investigating FortiManager Zero-Day Exploitation (CVE-2024-47575)（Google Cloud）
注4：CISA Adds One Known Exploited Vulnerability to Catalog（CISA）
注5：Charles Carmakal（Linkedin）
注6：CVE-2024-23113 Detail（NIST）
注7：Critical CVE in 4 Fortinet products actively exploited（Cybersecurity Dive）
注8：Barracuda zero-day vulnerability exploited for 7 months before detection（Cybersecurity Dive）
注9：CitrixBleed worries mount as nation state, criminal groups launch exploits（Cybersecurity Dive）
注10：Most Fortinet FortiGate firewalls remain vulnerable to critical CVE（Cybersecurity Dive）
注11：Ivanti pledges security overhaul after critical vulnerabilities targeted in lengthy exploit spree（Cybersecurity Dive）
注12：Palo Alto Networks warns firewall exploits are spreading（Cybersecurity Dive）
注13：SonicWall firewall CVE exploits linked to ransomware attacks（Cybersecurity Dive）