FortinetがFortiOS、FortiProxy SSL-VPNの重大な脆弱性にパッチ すでに悪用されている可能性も:CVE-2023-27997
FortiOSとFortiProxy SSL-VPNにおける、ヒープベースのバッファオーバーフローの脆弱性
Fortinetは12日、先週金曜のセキュリティアップデートで修正された脆弱性CVE-2023-27997に関するアドバイザリと分析レポートを公開。これにより、同脆弱性がヒープベースのバッファオーバーフローの脆弱性であること、認証されていない攻撃者によるリモートコード実行を可能にする恐れがあること、そして政府/製造/重要インフラ関連組織を狙う攻撃ですでに悪用されていた可能性があることなどが明らかになっている。CVSSスコアは9.2で、深刻度は「Critical」との評価。
Fortinetは先週金曜のアップデートでCVE-2023-27997を密かに修正
同社から脆弱性の公式アドバイザリ・レポートが出たのは6月12日だったが、これより前の9日金曜に、同脆弱性を修正するセキュリティアップデートがすでにリリースされていた。FortinetがCriticalな脆弱性の詳細を開示する前にパッチをリリースするのは今回が初めてではない。これは、脅威アクターたちが開示された情報をもとにエクスプロイトを作成してしまう前に、顧客へデバイスを保護するための時間を与えるための措置だとされる。
しかし今回は、パッチのリリース後、Fortinetからの公式な情報開示がなされる前から、脆弱性が多要素認証を有効化していたとしても悪用され得るものであるとの情報や、CVE番号が「CVE-2023-27997」であるという情報、またRCEを可能にする恐れがあるという情報などがセキュリティ企業や研究者によって公表されてしまっていた。
(参考:以下は、同脆弱性の発見者とされる研究者Charles Fol氏の6月11日のツイート)
#Fortinet published a patch for CVE-2023-27997, the Remote Code Execution vulnerability @DDXhunter and I reported. This is reachable pre-authentication, on every SSL VPN appliance. Patch your #Fortigate. Details at a later time. #xortigate
— Charles Fol (@cfreal_) June 11, 2023
Volt Typhoonと悪用との関連性は?
Fortinet製品のFortiGuardデバイスを標的にするアクターとしては、中国のサイバースパイグループ「Volt Typhoon」がよく知られている。今回FortinetはCVE-2023-27997の悪用とVolt Typhoonを関連づけてはおらず、Fortinet製品のように広く普及しているソフトウェアやデバイスにおける未パッチの脆弱性はVolt Typhoonを含むあらゆるアクターによって今後も悪用されるであろうとの見解を示すにとどめた。その上で、積極的なパッチ適用により迅速かつ継続的な対策を行うようユーザーに求めている。
IPAもCVE-2023-27997について注意喚起
日本国内でも、Fortinet製品の脆弱性に対する関心は高い。今回の脆弱性に関してはIPAも早速アドバイザリを公開し、「今後被害が拡大する可能性があるため、早急に対策を実施してください」と述べて注意喚起している。
参考:IPA「Fortinet 製 FortiOS および FortiProxy の脆弱性対策について(CVE-2023-27997)」
(情報源:BleepingComputer “Fortinet: New FortiOS RCE bug “may have been exploited” in attacks”、SecurityWeek “Fortinet Patches Critical FortiGate SSL VPN Vulnerability”)
MOVEit Transferの脆弱性CVE-2023-34362に対するPoCエクスプロイトを専門家がリリース
Clopによる大規模悪用が報じられるSQLインジェクションの脆弱性のエクスプロイトコードが利用可能に
セキュリティ企業Horizon3が、MOVEit Transfer MFTにおける脆弱性CVE-2023-34362に対するPoCエクスプロイトコードをリリースした。このSQLインジェクションの脆弱性は認証されていない攻撃者によるMOVEit Transferデータベースへのアクセスを可能にする恐れがあるもので、Clopランサムウェアによる悪用が報じられている。Clop自身もこの攻撃の犯行声明を出しており、「企業数百社」からデータを盗んだと主張していた。
Horizon3は、リリースされているパッチのリバースエンジニアリングを行い、またClopの攻撃に関連するIoCの分析を実施することなどにより、CVE-2023-34362を悪用するための複数の手段を発見したという。同社のPoCはSQLインジェクションを悪用してsysadmin APIのアクセストークンを入手し、そのアクセス権を使ってデシリアライゼーションの呼び出しを悪用し、リモートコード実行を行うものだとされる。
またHorizon3の他、Rapid7のプロジェクトAttackerKBもCVE-2023-34362に関する分析レポートを公開し、悪用チェーンについて詳しく解説している。またこのレポートに関連して、GitHub上にPoCコードが共有されている。
6月14日以降、Clopのデータリークが始まる恐れ
Clopは6月6日に出した声明の中で、要求した身代金が支払われない場合、6月14日に盗んだデータの公開を始めると述べている。現在までにClopによるハッキングの影響を受けた組織として英国の給与ソリューション企業ZellisやBBC、ブリティッシュ・エアウェイズ、カナダ・ノバスコシア州政府などの名が上がっているが、14日に実際にデータリークが開始されれば、さらなる被害組織が明らかになっていく可能性がある。
この、脆弱性の悪用が明らかになる→Clopの関与が報じられる→Clopが犯行声明を出す→Clopが恐喝を開始する、という流れは、同ランサムウェアグループによるGoAnywhereのゼロデイCVE-2023-0669を悪用した今年2月の攻撃の流れと非常によく似ている。
MOVEit Transferには別の脆弱性も:CVE-2023-35036
MOVEit Transferにおいては、上記の脆弱性CVE-2023-34362とは別に、新たなSQLインジェクションの脆弱性CVE-2023-35036の存在も発覚している。同脆弱性の実際の攻撃での悪用は観測されていないものとみられるが、いずれにせよMOVEit Transferの利用者には早急なパッチ適用が推奨されている。
(情報源:Security Affairs ”Experts released PoC exploit for MOVEit Transfer CVE-2023-34362 flaw”、BleepingComputer ”Clop ransomware claims responsibility for MOVEit extortion attacks”)
6月13日:その他の注目ニュース
スイス政府、進行中のDDoS攻撃とデータのリークについて警告
Bleeping Computer – Jun 12 2023 14:58
スイス政府は、最近発生したITサプライヤーXplainへのランサムウェア攻撃が同政府のデータに影響を与えた可能性があることを先週火曜日に開示していたが、一方で昨日(12日)、同政府はDDoS攻撃の標的にされているとの警告を発した。スイス政府は、連邦政府のシステムに対するDDoS攻撃により、政府の一部のWebサイトがアクセス不能になっているという声明を発表した。これは2022年初頭からヨーロッパ、ウクライナ、北米のNATO加盟国や団体を標的としてきた親ロシア派のハッカー集団「NoName」が仕掛けたDDoS攻撃であるとされる。スイス政府によると、連邦政府の専門家はこの攻撃にすぐ気付き、Webサイトやアプリケーションへのアクセス性をできるだけ早く回復させるための措置をとっているとのこと。
FUDマルウェアの難読化エンジンBatCloakは進化を続けている
Security Affairs – Jun 12 2023 13:11
トレンドマイクロの研究者が、完全に検出不能な(FUD)マルウェアの難読化エンジン「BatCloak」の詳細を明らかにした。研究者が分析したサンプルは、アンチマルウェアソリューションを持続的に回避する驚くべき能力を示した。研究者によると、検索されたサンプルの80%は、セキュリティソリューションからの検出がゼロであったとのこと。また、研究者が使用した784のサンプルの平均検出率は1未満であった。BatCloakはFUDビルダー「Jlaive」の一部だとされるが、Jlaiveのリポジトリの分析により、開発者(ch2sh)は暗号化アルゴリズムのAESを利用し、マルウェア対策スキャンインターフェース(AMSI)をバイパスする技術を実装していたことが判明した。