Fortinet、VPNの既知の脆弱性の「シンボリックリンク」を利用し不正アクセスを維持する活動を警告

Fortinetは、過去に既知の脆弱性（CVE-2022-42475、CVE-2023-27997、CVE-2024-21762 など）を悪用してFortiGate/FortiOS VPN機器を攻撃した脅威アクターが、「シンボリックリンク」を用いて持続的な不正アクセスを維持しているという新たな手法が存在している事を顧客向けに注意喚起しました。

攻撃の概要と仕組み

この攻撃は、新たな脆弱性ではなく、過去にパッチが適用された既知の脆弱性を利用して侵入した後に、ユーザー領域にルートファイルシステムへのシンボリックリンクを設置するという手法です。これにより、SSL-VPNの言語ファイル提供フォルダ経由で、攻撃者がルートファイルシステムへ読み取り専用でアクセスできるようになります。

この操作はユーザー領域に対して行われるため、ファームウェアのアップグレード後も残存し、セキュリティパッチでは検知・削除されない可能性があるという点が問題です。

Fortinetは、「攻撃者はSSL-VPNが有効な環境で、言語ファイルを提供するディレクトリにシンボリックリンクを作成し、それを介してシステム設定情報などを読み取ることが可能だった」と説明しています。

脅威の時期と規模

この攻撃手法は早ければ2023年初頭から確認されており、フランスのCERT-FRによると、「多数のデバイスが対象となった大規模キャンペーンが存在する」と報告されています。Fortinet自身も、全世界の複数業種・地域に被害が拡散している可能性を認めており、業界を問わず注意が必要です。

Fortinetの対応と修正済みバージョン

Fortinetは次のような対応を実施しています。

• AV/IPSエンジンのアップデートにより、シンボリックリンクを自動検知・削除

• SSL-VPNインターフェースの変更により、当該リンクの配信を遮断

• 最新バージョンでは、シンボリックリンクが残っていた場合もアップグレード時に削除される

修正済みFortiOSバージョン

■ Fortinetからの推奨対策

Fortinetは影響が確認された顧客に直接通知を行っており、以下の措置を強く推奨しています：

1. すべてのFortiGate機器のアップグレード

2. デバイス設定のレビュー（改ざんや不審な構成変更の有無）

3. 機密情報の再設定（証明書、トークン、SSH鍵、VPN認証情報など）

4. 不要なSSL-VPN設定の無効化

5. Fortinetの公式ガイドラインに従った復旧手順の実施
   → https://community.fortinet.com/t5/FortiGate/Technical-Tip-Recommended-steps-to-execute-in-case-of-a/ta-p/230694

注：SSL-VPNを一度も有効にしていない環境では、この手法の影響を受けないとされています。

情報システム部門が取るべき追加対策

このような持続的攻撃に備え、情報システム部門では次のような対策も並行して行うべきです。

• パッチ管理体制の強化：すべてのファームウェアの更新履歴と適用状況を一元管理し、速やかにアップデートを行える体制を整備

• 侵入検知およびロギングの強化：ルートファイルシステムや設定ファイルへのアクセス状況を監視

• SSL-VPN利用状況の精査：必要のない機能を無効化し、アクセスログの可視化を実施

• 設定変更の監査ログ取得：不審なタイミングでの変更がないか定期的にチェック

• ゼロトラストの導入：VPNアクセスや設定管理に関して原則非信頼の姿勢を取り、MFAやIP制限などを強化