-
Analyst's Choice
2FA
Cyber Intelligence
EDR
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
ChatGPT
Cyber Intelligence
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
FortiOSの脆弱性CVE-2023-27997:ネット接続されたFortiGateデバイスの約69%が未パッチ状態か
先月のセキュリティアップデートで修正された、FortiOSとFortiProxy SSL-VPNにおける重大な脆弱性であるCVE-2023-27997。同脆弱性に対する新たなエクスプロイトを開発したセキュリティ企業Bishop Foxは、インターネット接続されたFortiGateファイアウォールのうち約69%が未だ脆弱な状態であるとして速やかなパッチ適用を呼びかけている。
CVE-2023-27997:RCEにつながり得るCriticalな脆弱性
CVE-2023-27997は、FortiOSとFortiProxy SSL-VPNにおけるヒープベースのバッファオーバーフローの脆弱性で、認証されていない遠隔の攻撃者によるコードやコマンドの実行を可能にする恐れがあるもの。CVSSスコアは9.2で、深刻度は「Critical」。6月初旬に修正されていたが、政府・製造・重要インフラ関連の組織を狙った攻撃ですでに悪用されていた可能性があるとされる。
CVE-2023-27997のエクスプロイト
Bishop Foxは、同脆弱性の発見者(LexfoのCharles Fol氏)によって提供された詳細情報を基に、リモートコード実行を可能にするエクスプロイトを作成。Bishop Foxのブログ記事内のキャプチャ動画では、このエクスプロイトがヒープを破壊し、攻撃者の制御するサーバーへと接続を返し、BusyBoxバイナリをダウンロードしてインタラクティブシェルを開く様子が示されている。なおこのエクスプロイトの実行時間は約1秒間で、Lexfoが紹介したものよりも高速だという。
ネット接続されたSSL VPNインターフェースの数は約490,000、うち約69%が未パッチ
これまでに公開されたCVE-2023-27997に関するレポートやブログ記事では、ネット接続されたFortiGateファイアウォールの台数は250,000台程度とされていた。こういった記事の大半は、「ssl.cert.subject.cn:FortiGate」というクエリを使ったShodanでの調査結果に基づいて書かれている。しかしBishop Foxによればこのクエリでは脆弱性の存在箇所であるSSL VPNインターフェースがフィルタリングされず、また自己署名された証明書など、Fortinet以外によって発行された証明書を持つデバイスを発見できないのだそう。そこでBishop Foxは別のクエリ「Server: xxxxxxxx-xxxxx」を使用。これにより、インターネット接続されたSSL VPNインターフェースが当初伝えられていた数の2倍(490,000)も存在することを発見できたという。また、このうちパッチ適用がなされていたデバイスが153,414台だったと思われることも調査により明らかになり、全体の約69%が未パッチ状態であるとの結論が導き出された。さらに、すでにサポートが終了している8年以上前のバージョンのFortiOSも一部で使用されていることが発覚している。
速やかにパッチを!
Fortinet製品の脆弱性はこれまでにも、中国のサイバースパイグループ「Volt Typhoon」などのアクターによって悪用されてきた。またBishop Foxの新たなエクスプロイトにより同脆弱性の悪用が可能であることが改めて示され、その重大性が浮き彫りになっている。FortiGateファイアウォールやその他FortiOS関連製品の利用者には、迅速なファームウェアアップグレードが推奨される。
(情報源:Bishop Fox ”CVE-2023-27997 Is Exploitable, and 69% of FortiGate Firewalls Are Vulnerable”、Fortinet ”FortiOS & FortiProxy – Heap buffer overflow in sslvpn pre-authentication”)
7月1日, 2日:その他の注目ニュース
Avast社、Windows版Akiraランサムウェア用の無料復号ツールをリリース
Security Affairs – Jul 01 2023 15:45
サイバーセキュリティ企業Avastが、Akiraランサムウェア用の無料復号ツールをリリースした。これにより、被害者は身代金を支払うことなくデータを回復できるようになる。Akiraランサムウェアは2023年3月から活動しており、このマルウェアの黒幕である脅威アクターはすでに教育、金融および不動産を含む複数の業界のさまざまな組織をハッキングしたと主張している。Akiraランサムウェアは64ビット版Windows向けであり、32ビットのWindows上では実行されないが、Avastは64ビットと32ビットの両方のWindows版向けの復号ツールをリリースしているという。Avastによると、同ツールは暗号化されたファイルをバックアップするオプションもサポートしているとのこと。また、同社はLinux版亜種用の復号ツールも作成中であり、その間に同ランサムウェアのWindow版とLinux版亜種のIoCをリリースしているとのこと。
台湾TSMC、データ侵害に遭ったことを認める サードパーティサプライヤーへのLockBitによるサイバー攻撃の後
DataBreaches.net – Jul 01 2023 13:49
世界最大の受託チップメーカーである台湾セミコンダクター・マニュファクチャリング・カンパニー(TSMC)が、ランサムウェアグループLockBitの被害者としてリストに掲載された後、データ侵害に見舞われたことを認めた。同社は、世界のファウンドリ市場で60%のシェアを持つという。ロシアに関連するLockBitランサムウェアグループは木曜日(29日)、自身のダークウェブのリークサイトに同社を掲載した。同グループは同社が7,000万ドルの身代金を支払わない限り、同社から盗まれたデータを公開すると脅している。TechCrunchに寄せられた同社の声明によると、同社のITハードウェアサプライヤーの1つであるKinmax Technology社で「サイバーセキュリティインシデント」が発生し、「サーバーの初期設定とコンフィグレーションに関連する情報」が流出したことを確認したとのこと。
