FortiOSの脆弱性をサイバー攻撃者が悪用中
当社の「脅威インテリジェンスサービス」で技術提携をしているCognyte Software Ltd. が、2022年12月、Fortinet製FortiOSの脆弱性に関するレポートを公開しました。
最近のランサムウェア攻撃事案は、今回報告するFortiOSなどのVPN機器の脆弱性を悪用し侵入する手口が多数となっています。当該脆弱性が、ご利用の機器に該当するかどうか確認し、速やかに対策を講ずることを推奨します。
また、既に不審なアクセスやネットワーク侵害の兆候があった場合、あるいは対策について判断がつかないといった場合は、SOMPO CYBER SECURITYインシデントサポートデスクまでお問い合わせください。
Cognyte CTI Research Group@Cognyte | 2022年12月
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
FortiOS脆弱性の概要
2022年12月12日、Fortinetは、VPN製品FortiOS SSL-VPNの新規脆弱性(CVE-2022-42475)に関するアドバイザリーを公開しました。この脆弱性が該当するバージョンは以下のとおりです。
- FortiOS バージョン 7.2.0 から 7.2.2
- FortiOS バージョン 7.0.0 から 7.0.8
- FortiOS バージョン 6.4.0 から 6.4.10
- FortiOS バージョン 6.2.0 から 6.2.11
- FortiOS バージョン 6.0.0 から 6.0.15
- FortiOS バージョン 5.6.0 から 5.6.14
- FortiOS バージョン 5.4.0 から 5.4.13
- FortiOS バージョン 5.2.0 から 5.2.15
- FortiOS バージョン 5.0.0 から 5.0.14
- FortiOS-6K7K バージョン 7.0.0 から 7.0.7
- FortiOS-6K7K バージョン 6.4.0 から 6.4.9
- FortiOS-6K7K バージョン 6.2.0 から 6.2.11
- FortiOS-6K7K バージョン 6.0.0 から 6.0.14
アドバイザリによると、該当バージョンはヒープベースのバッファオーバーフローに係る脆弱性を保有しています。この脆弱性を悪用することにより、攻撃者は認証の必要なく、リモートコード実行や特殊なリクエストによるコマンド実行が可能となります。
さらに、この脆弱性は既に悪用が確認されています。
対応策
Fortinetは、以下に示す不審なIPアドレスへのFortiGateからの接続をモニターするよう推奨しています。
- 188.34.130.40:444
- 103.131.189.143:30080,30081,30443,20443
- 192.36.119.61:8443,444
- 172.247.168.153:8033
併せて、対象システムのバージョンを、以下のとおりアップグレードすることを推奨しています。
- FortiOS バージョン 7.2.3あるいはそれ以降
- FortiOS バージョン 7.0.9あるいはそれ以降
- FortiOS バージョン 6.4.11あるいはそれ以降
- FortiOS バージョン 6.2.12あるいはそれ以降
- FortiOS-6K7K バージョン 7.0.8あるいはそれ以降
- FortiOS-6K7K バージョン 6.4.10 あるいはそれ以降
- FortiOS-6K7K バージョン 6.2.12 あるいはそれ以降
- FortiOS-6K7K バージョン 6.0.15 あるいはそれ以降
最後に
現在、この脆弱性を悪用している攻撃者の身元等は特定されていません。
Cognyteでは、この脅威への対策として、Fortinet社アドバイザリーに示された事項の実施を推奨しています。
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
情報ソース