2023年9月7日、アメリカのCISA、FBI、アメリカサイバー軍(USCYBERCOM)が共同発表した報告書によると、国のサポートを受けるハッキンググループが最近ZohoとFortinetソフトウェアの主要な脆弱性を利用してアメリカの航空機関に侵入したそうです。ハッカーは漏洩されたZohoアプリケーションの脆弱性(CVE-2022-47966)とFortinet脆弱性(CVE-2022-42475)を悪用し、組織のネットワークへ無断にアクセスしました。攻撃者は明確に確認されていないが、アメリアサイバー軍(USCYBERCOM)は、この攻撃がイランのハッカーグループと関係がある可能性があると伝えました。
パッチ未適用のFortinet脆弱性「CVE-2022-42475」を悪用
ほとんどのハッキンググループはインターネットに漏洩されたデバイスの中でパッチされていない脆弱性を保有するデバイスを攻撃の対象とします。今度の攻撃に悪用された脆弱性の中でCVE-2022-42475はFortinet SSL-VPNの複数のバージョンに影響を与えるヒープベースのバッファオーバーフロー(Heap-based Buffer Overflow)脆弱性であり、リモートで任意コードやコマンドを実行できる深刻な脆弱性です。この脆弱性を悪用すると、企業・機関の内部ネットワークに侵入し、ハッキングされたネットワーク・インフラの構成要素を通じてより多様な内部システムに侵入できます。
Fortinetはこの脆弱性が発見された直後にセキュリティ勧告およびセキュリティパッチバージョンについて公式発表をしました。しかし、パッチが発表されてから約9ヶ月が経った今までもパッチされていないデバイスは非常に多く、ハッカーは続いてこの脆弱性を悪用しています。
<Criminal IPで検知された漏洩FortinetデバイスのIPアドレスで、CVE-2022-42475脆弱性を含めた58個の脆弱性が発見された>
CVE-2022-42475から影響を受ける数千件のFortinet SSL-VPN
次はCriminal IP IT資産検索の脆弱性フィルターを使ってCVE-2022-42475に関連するFortinet SSL-VPNを検索した結果です。外部に漏洩されたFortinet SSL-VPNデバイスの中で当脆弱性を保有するデバイスは約3千件ほど発見されました。
検索クエリ:cve_id: CVE-2022-42475
< Criminal IP IT資産検索の脆弱性フィルターを使ってCVE-2022-42475に関連するデバイスを検索した結果>
また、CVE-2022-42475に脆弱なFortinetのSSL-VPNを使用している国は、総計124カ国に確認されました。その中でアメリカは最も多い466件であり、インドは232件、台湾は166件で後を継ぎました。
<Criminal IPで検知されたCVE-2022-42475に
脆弱なFortinet SSL-VPNを使用している国の統計>
パッチされていない脆弱性に対する勧告
CISAが勧告するCVE-2022-47966およびCVE-2022-42475に対するセキュリティ点検事項は以下の通りです。詳細な勧告に関するガイドラインはCISAの報告書で確認できます。
- 脆弱性・構成の管理
- セグメントネットワーク(ネットワークの細分化)
- アカウント、権限、ワークステーションの管理
- リモートアクセスのソフトウェアの安全性を確保
- その他の緩和策のベストプラクティスを参照
関連してはFortinetファイアウォール脆弱性のパッチ遅れイシューに関する投稿をご参照ください。
当レポートはサイバー脅威インテリジェンス検索エンジン「Criminal IP」のデータに基づいて作成されました。
只今Criminal IPの無料アカウントを作成すると、レポートに引用された検索結果を自ら確認するか、より膨大な脅威インテリジェンスを自由に検索いただけます。
データの提供:Criminal IP(https://www.criminalip.io/ja)
ご参照:
0コメント