Mandiant、FortiManagerの脆弱性(CVE-2024-47575)が6月からゼロデイ攻撃に悪用されている事を発表

Fortinet(フォーティーネット)は、同社のネットワーク管理製品「FortiManager」に新たに発見された重大な脆弱性(CVE-2024-47575 )が、ゼロデイ攻撃に悪用されていると警告しました。グーグルの子会社Mandiantはこの脆弱性が2024年6月27日からゼロデイに悪用されていたを発表しました。

脅威クラスターUNC5820が悪用

2024 年 6 月 27 日という早い時期にUNC5820 は、悪用された FortiManager によって管理されている FortiGate デバイスの構成データをステージングして盗み出しました。

盗み出したデータには、管理対象アプライアンスの詳細な構成情報と、ユーザーとその FortiOS256 ハッシュ パスワードが含まれています。

最初に観測された攻撃

最初に観測されたサイバー攻撃は 45.32.41[.]202 から発生し、脅威アクターが未許可の FortiManager-VM を公開された FortiManager サーバーに登録しました。

このデバイスは、「localhost」という名前でリストされており、以下に示すように、シリアル番号は「FMG-VMTM23017412」でした。

画像：Mandiant

 

Mandiant によれば、攻撃の一環として 4 つのファイルが作成されたとのことです。

• /tmp/.tm – 管理対象 FortiGate デバイスに関する漏洩情報、FortiManager サーバーに関する情報、およびそのグローバル データベースを含む gzip アーカイブ。
• /fds/data/unreg_devices.txt – 登録解除されたデバイスのシリアル番号と IP アドレスが含まれます。
• /fds/data/subs.dat.tmp – 不明
• /fds/data/subs.dat – このファイルには、攻撃者が制御するデバイスのシリアル番号、ユーザー ID、会社名、電子メール アドレスが含まれていました。

最初に確認された攻撃では、電子メール アドレスは「0qsc137p@justdefinition.com」、会社名は「Purity Supreme」でした。

FortiManagerからラテラルムーブメント（横方向の移動）

UNC5820 はこのデータを使用して FortiManager をさらに侵害し、管理対象の Fortinet デバイスに横方向に移動し、最終的に企業環境をターゲットにする可能性があります。

現時点では、Mandiant が分析したデータ ソースには、脅威アクターが FortiManager の脆弱性を悪用するために使用した特定のリクエストは記録されていません。

また、調査の現段階では、UNC5820 が取得した構成データを利用して横方向に移動して環境をさらに侵害したという証拠はありません。

そのため、公開時点では、アクターの動機や場所を評価するのに十分なデータが不足しています。調査を通じて追加情報が入手でき次第、Mandiant はブログに情報を掲載するとしています。

FortiManager がインターネットに公開されている可能性がある組織は、直ちにフォレンジック調査を実施する必要があります。

緩和策

1. FortiManager 管理ポータルへのアクセスを、承認された内部 IP アドレスのみに制限する。
2. 許可された FortiGate アドレスのみが FortiManager と通信できるようにします。
3. 不明な FortiGate デバイスが FortiManager に関連付けられることを拒否します。

※7.2.5、7.0.12、7.4.3 以降で利用可能 (7.6.0 では機能的な回避策ではありません)。

 

参照

Investigating FortiManager Zero-Day Exploitation (CVE-2024-47575)