サイバーセキュリティ企業アークティック・ウルフは金曜日、攻撃者が最近、ゼロデイキャンペーンの疑いで、管理インターフェースが公共のインターネット上に公開されているフォーティネットのFortiGateファイアウォールデバイスを標的にしていたことを明らかにした。
Arctic Wolf Labs の研究者によると、フォーティネットのファイアウォールに対する悪意のある活動は 2024 年 11 月中旬に始まりました。未知の攻撃者は、影響を受けるファイアウォールの管理インターフェイスにアクセスし、侵害された環境で DCSync を使用して資格情報を抽出することで、ファイアウォールの構成を変更しました。
「このキャンペーンには、ファイアウォールの管理インターフェイスへの不正な管理ログイン、新しいアカウントの作成、それらのアカウントを介した SSL VPN 認証、およびその他のさまざまな構成変更が含まれていました」と Arctic Wolf のセキュリティ研究者は述べています。書きました先週公開されたブログ投稿で。
このキャンペーンで使用された最初のアクセス ベクトルは現時点では不明ですが、影響を受ける組織全体の限られたスケジュールと影響を受けるファームウェア バージョンの範囲を考慮すると、Arctic Wolf Labs はゼロデイ脆弱性の「大規模悪用キャンペーン」が行われる可能性が高いと確信しています。
主に影響を受けるのは、それぞれ 2024 年 2 月と 2024 年 10 月にリリースされた 7.0.14 と 7.0.16 のファームウェア バージョンです。
Arctic Wolf Labs は現在、2024 年 11 月から 2024 年 12 月の間に脆弱な FortiGate デバイスを標的としたキャンペーンの 4 つの異なる攻撃段階を特定しています。
フェーズ 1:脆弱性スキャン (2024 年 11 月 16 日から 2024 年 11 月 23 日まで)
フェーズ 2:偵察(2024年11月22日~2024年11月27日)
フェーズ 3:SSL VPN 構成 (2024 年 12 月 4 日から 2024 年 12 月 7 日まで)
フェーズ 4:横移動(2024年12月16日~2024年12月27日)
第 1 フェーズでは、攻撃者は脆弱性スキャンを実施し、ループバック アドレス (例: 127.0.0.1) や、Google Public DNS や Cloudflare などの一般的な DNS リゾルバーなどの通常とは異なる IP アドレスとの間の接続を持つ jsconsole セッションを利用しました。脅威ハンティングの理想的なターゲットです。
偵察フェーズでは、攻撃者は、悪用されたファイアウォール上で変更をコミットするためのアクセスを正常に取得したかどうかを確認するために、いくつかの被害組織にわたって最初の不正な構成変更を行いました。
キャンペーンの第 3 フェーズでは、脅威アクターは、SSL VPN アクセスを確立するために、侵害されたデバイスに大幅な変更を加えました。
一部の侵入では、新しいスーパー管理者アカウントを作成しましたが、他の侵入では、既存のアカウントをハイジャックして SSL VPN アクセスを取得しました。脅威アクターは、ユーザー アカウントが直接追加される新しい SSL VPN ポータルも作成しました。
最後のフェーズでは、攻撃者は被害組織の環境内で SSL VPN アクセスの取得に成功した後、DCSync 技術を使用して横方向の移動のための資格情報を抽出しました。
サイバーセキュリティ会社によると、攻撃者は続行する前に影響を受けるシステムから削除されたという。
Artic Wolf Labs は、2024 年 12 月 12 日にこのキャンペーンで観察された活動についてフォーティネットに通知しました。FortiGuard Labs PSIRT は、2024 年 12 月 17 日に既知の活動を認識しており、この問題を積極的に調査していることを確認しました。
このような既知のセキュリティ問題から保護するために、Artic Wolf Labs は組織に対し、パブリック インターフェイスでのファイアウォール管理アクセスを直ちに無効にし、アクセスを信頼できるユーザーに制限することを推奨しています。
また、既知の脆弱性から保護するために、ファイアウォール デバイスのファームウェアを最新バージョンに定期的にアップグレードすることも推奨しています。
