2023年6月12日発表されたフォーティゲート(FortiGate)のファイアウォールのリモートコード実行(RCE)脆弱性であるCVE-2023-27997のパッチ遅延が深刻な状態です。CVE-2023-27997はヒップ基盤のバッファオーバーフローの脆弱性でSSL-VPNが活性化されたデバイスに影響を与えます。これはウェブに漏洩されたSSL-VPN のインターフェースを通じてリモートでコードを実行できるリモートコード実行(RCE)脆弱性であり、CVEスコアは10点満点に9.8点で深刻度がかなり高いです。
サイバーセキュリティメディアのBleepingComputerの記事によると、7月3日パッチが適用されないまま脆弱性に漏洩されたフォーティネットのファイアウォールが30万以上発見されたそうです。脆弱性が公開されたと同時にセキュリティパッチが更新されたにもかかわらずユーザーのパッチが遅れていることを意味します。
すると、1ヶ月が経った今はどうでしょう。今回の投稿では、パッチの発表からほぼ2ヶ月になっている今はどれだけ多くのフォーティネットのファイアウォールが脆弱な状態で脅威にさらされているかを調べたいと思います。
インターネットに漏洩されたフォーティゲートSSL VPNのインターフェースを見つける
既に記事を通じて知られている「CVE-2023-27997に脆弱なデバイスを見つける方法」を参考にし、Criminal IPのIT資産検索に次のようなクエリを検索してみました。
次のクエリはインターネットに漏洩されている脆弱なフォーティゲートSSL VPNのインターフェースを見つけるCriminal IPのクエリです。
検索クエリ:"xxxxxxxx-xxxxx" "top.location=/remote/login"
*当クエリに使われた "" 演算子は検索したクエリがバナースクリプトに正確に一致するサーバーを見つけるようにする演算子です。
<Criminal IPのIT資産検索に「"xxxxxxxx-xxxxx" "top.location=/remote/login"」クエリを検索した結果>
驚くべし、インターネットからアクセスできる状態のフォーティゲートSSL VPNインターフェースが476,278件検索されました。
この中で一部はパッチ以降に設置されたサーバーで、全てのサーバーがCVE-2023-27997のリモートコード実行脆弱性に漏洩されている状態ではありません。しかし、依然として数多くのフォーティゲートがパッチの遅れで脆弱な状態であることが分かります。
CVE-2023-27997リモートコード実行攻撃が可能なフォーティゲート
外部に漏洩されている47万以上のフォーティゲートSSL-VPNインターフェースの中、実際にCVE-2023-27997の脆弱性エクスプロイトが可能なデバイスを検索してみました。
Criminal IPのIT資産検索で「cve_id」フィルターを使って検索できます。
検索クエリ:cve_id: CVE-2023-27997
* 当クエリに使用されたcve_idフィルターは検索したCVE脆弱性を保有するIPアドレスを見つけるようにするフィルターです。
<Criminal IPのIT資産検索に「cve_id: CVE-2023-27997」クエリを検索した結果>
CVE-2023-27997の脆弱性にマッピングされているサーバーは総合4,737件です。これらのIPアドレスに稼働されているフォーティゲートには、知られているエクスプロイトで実際に攻撃することができます。
その上、このようなIPアドレスのバナー情報にはフォーティネットのバージョンとシリアルナンバーがそのまま漏洩されています。これは公開されていること自体で他のエクスプロイト攻撃ができる非常に危険な状態です。
<Criminal IPで検索したCVE-2023-27997の脆弱性に漏洩されたデバイスのバナー情報、フォーティネットのシリアルナンバーとバージョンが漏洩されている>
むろん、この4,737件の脆弱なフォーティゲートのデバイス以外にもより多くのデバイスが脆弱な状態かもしれません。
特に今回のフォーティゲートのリモートコード実行脆弱性は、攻撃を通じて脆弱なデバイス以外に内部の他のサーバーまで攻撃を受けられるため、迅速なセキュリティパッチが急がれます。
フォーティゲートのリモートコード実行脆弱性に漏洩されたデバイスの国家統計
CVE-2023-27997フォーティゲートのリモートコード実行脆弱性にさらされかねないサーバーの国家統計を確認してみました。総合151ヶ国が脆弱性に漏洩されたフォーティネットのデバイスを保有しています。1位はアメリカ、648件で全体の約12.6%を占めます。アラブ首長国連邦、インド、台湾などの国では200件以上発見されました。
<CVE-2023-27997脆弱性の影響を受けているフォーティゲートを保有する国家統計>
フォーティゲートのリモートコード実行脆弱性のパッチ勧告
フォーティネットが脆弱性とパッチを公開してから約3ヶ月が経つ時点にもまだ多くのデバイスが脆弱な状態であることはパッチの遅れがそれほど深刻な程度であることを示します。
脆弱性が発表されるとその当時にはイシューになりますが、時間が過ぎていく間、他のイシューに埋もれてしまいます。
しかし、忘れてはいけない重要な事項は、攻撃者は何カ月、何年が経った脆弱性から攻撃チャンスを探すことです。興味が減らすほど管理が疎かになるからです。
フォーティネットはCVE-2023-27997リモートコード実行脆弱性に対して次のように勧告を公表しました。
SSL-VPNを無効化するか以下のガイドラインにより更新を行います。
FortiOS-6K7Kバージョンを7.0.12以上に更新
FortiOS-6K7Kバージョンを6.4.13以上に更新
FortiOS-6K7Kバージョンを6.2.15以上に更新
FortiOS-6K7Kバージョンを6.0.17以上に更新
FortiProxyバージョンを7.2.4以上に更新
FortiProxyバージョンを7.0.10以上に更新
FortiProxyバージョンを2.0.13以上に更新
FortiOSバージョンを7.4.0以上に更新
FortiOSバージョンを7.2.5以上に更新
FortiOSバージョンを7.0.12以上に更新
FortiOSバージョンを6.4.13以上に更新
FortiOSバージョンを6.2.14以上に更新
FortiOSバージョンを6.0.17以上に更新
詳しい勧告事項はフォーティネットのPSIRTブログ記事に書かれています。セキュリティ勧告をモニタリングし、システムに即時パッチを適用する他にもフォーティネットは次を強く勧めます。
- FG-IR-22-377 / CVE-2022-40684のような過去の脆弱性を悪用した証があるかシステムを検討してください。
- 良好なサイバーハイジーン(衛生管理)を維持し、ベンダーのパッチ推奨事項に従ってください。
- FortiOS 7.2.0 Hardening Guideのように強化に関する推奨事項に従ってください。
- 使用されていない機能を無効にし、可能な限り帯域外の方法でデバイスを管理することで、攻撃対象領域を最小限に抑えてください。
関連しては、Fortinet認証バイパス脆弱性 (CVE-2022-40684)に関する投稿をご参照ください。
当レポートはサイバー脅威インテリジェンス検索エンジン「Criminal IP」のデータに基づいて作成されました。
只今Criminal IPの無料アカウントを作成すると、レポートに引用された検索結果を自ら確認するか、より膨大な脅威インテリジェンスを自由に検索いただけます。
データの提供:Criminal IP(https://www.criminalip.io/ja)
ご参照:
0コメント