FortinetがFortiOSとFortiProxyのゼロデイ攻撃を警告(CVE-2024-55591)

Fortinet(フォーティーネット)がFortiOSとFortiProxyの脆弱性(CVE-2024-55591)を悪用したゼロデイ攻撃の注意喚起を行いました。

脆弱性 CVE-2024-55591 の対象バージョン

・FortiOS バージョン 7.0.0 ～ 7.0.16

・FortiProxy バージョン 7.0.0 ～ 7.0.19及び7.2.0 ～ 7.2.12

※パッチリリース済み

脆弱性 CVE-2024-55591の回避策

FortinetはHTTP/HTTPS 管理インターフェースを無効にするか、ローカル入力ポリシーを使用して管理インターフェースにアクセスできる IP アドレスを制限するようアドバイザリーを記載しています。

脆弱性 CVE-2024-55591の概要

 リモートの攻撃者が Node.js Websocket モジュールへの細工されたリクエストを介してスーパー管理者権限を取得できる可能性があります。

脆弱性 CVE-2024-55591のゼロデイ攻撃の概要

Fortinet(フォーティーネット)によると、実際にゼロデイを悪用する攻撃者は、侵害されたデバイス上にランダムに生成された管理者またはローカルユーザーを作成し、それらを既存の SSL VPN ユーザーグループに追加したり、新たに追加さらにポリシーを変更又は追加し以前に作成した不正なアカウントを使用してSSL VPNへログインし、内部ネットワークへのトンネルを取得する事も確認されているとのことです。

Fortinet(フォーティーネット)は現在攻撃に関する詳細は公表していませんが、

セキュリティ企業Arctic Wolf は2024年11月から CVE-2024-55591 を悪用した疑わしいキャンペーンを観測しており、侵害の兆候は以下４つのフェーズに分かれています。

1. 脆弱性スキャン（2024年11月16日～2024年11月23日）
2. 偵察（2024年11月22日から2024年11月27日）
3. SSL VPN構成（2024年12月4日～2024年12月7日）
4. 横移動（2024年12月16日から2024年12月27日まで）

Arctic Wolf は攻撃に利用された最初のアクセス経路はまだ確認されていないが、ゼロデイ脆弱性が存在する可能性が非常に高い　としています。

CVE-2024-55591のゼロデイ攻撃者が利用するIPアドレス

Arctic Wolf は「このキャンペーンで最も顕著な侵害の兆候の 1 つは、ループバック アドレスや、Google Public DNS や Cloudflare などの一般的な DNS リゾルバなどの通常とは異なる IP アドレスとの接続を伴う jsconsole セッションの使用です。」

「これらの送信元と宛先の IP アドレスの組み合わせは、jsconsole のアクティビティでは一般的ではないため、脅威ハンティングの理想的なターゲットになります。これらの値は偽装されていると思われます。脅威アクターがこれらの IP アドレスを制御しなければ、jsconsole トラフィックがこれらの IP アドレスとの間で送受信されるはずがないからです。」としています。

送信元IPアドレス	宛先IPアドレス
127.0.0.1	127.0.0.1
8.8.8.8	8.8.4.4
1.1.1.1	2.2.2.2