中国ハッカーがオランダ国防省のネットワークに侵入、FortiOSの脆弱性悪用:CVE-2022-42475
(関連記事:BleepingComputer)
オランダ軍情報保安局(MIVD)は6日、昨年オランダ国防省のネットワークに中国のサイバースパイグループが侵入していたことを明かした。このスパイグループは、FortiOS SSL-VPNの脆弱性CVE-2022-42475を悪用し、国防省のFortiGateデバイスにマルウェア「Coathanger」を展開していたという。MIVDは、ネットワークセグメンテーションを実施していたおかげでこの侵害による影響は限定的だったと述べている。なお、具体的にどの脅威グループが関与しているかは不明。
Coathanger:ファームウェアアップデート後も残存するRAT
オランダ国防省への攻撃では、これまで知られていなかったマルウェア「Coathanger」が使われた。これはFortigateアプライアンスへの感染を意図して設計されたリモートアクセス型トロイの木馬で、その永続性は注目に値するという。同RATは、システムがリブートされる度に自らのバックアップをリブートを担うプロセスへと注入して復活する能力を持つほか、ファームウェアがアップデートされた後もシステムに残存する。
オランダMIVDは、「たとえ完全にパッチが適用されたFortiGateデバイスであっても、最新のパッチが適用される前に侵害されていた場合には、(Coathangerに)感染する可能性がある」と述べている。
ステルス性も備える
さらにCoathangerは、自らの存在を暴く恐れのあるシステムコールをフッキングする性能も持つため、デフォルトのFortiGate CLIコマンドを使って検出することは困難なのだという。
脆弱性CVE-2022-42475の悪用
MIVDは、攻撃者が初期アクセスの手段として、FortiOS SSL-VPNにおけるヒープベースのバッファオーバーフローの脆弱性CVE-2022-42475を悪用していたことも明かした。同脆弱性のエクスプロイトを発動させてオランダ国防省のFortiGateファイアウォールを侵害した攻撃者らは、その後Coathangerマルウェアを別のホストからダウンロードしていたのだという。
CVE-2022-42475は、過去にも政府組織や関連する標的を攻撃するために悪用されていた。Mandiantは昨年1月、中国の関与が疑われるスパイキャンペーンにおいて、LinuxマルウェアBoldmoveの展開を目的にこの脆弱性が使われていたことを報告している。
また昨年9月に公表された米国の航空宇宙関連組織を狙ったハッキングインシデントでも、ほかの脆弱性数件とともにCVE-2022-42475が利用されていたことがわかっている。
関連記事:ZohoとFortinetにおける脆弱性を用いて米航空宇宙組織がハッキングされる(CVE-2022-47966、CVE-2022-42475)
2月7日: その他のサイバーセキュリティ関連ニュース
Fortinet FortiSIEMにCriticalなコマンドインジェクションの脆弱性:CVE-2024-23108、CVE-2024-23109(CVSS 10)
Securityonline.info – FEBRUARY 5, 2024
Fortinetが、FortiSIEMにおける重大なOSコマンドインジェクションの脆弱性CVE-2024-23108およびCVE-2024-23109について注意喚起。両脆弱性は特別に細工されたAPIリクエストを用いて悪用された場合、認証されていないリモートの攻撃者による不正なコマンドの実行を可能にする恐れがあり、CVSS v3.1のベーススコアはいずれも「10.0」で、Fortinetによる深刻度評価は「Critical」。
※Update:CVE-2024-23108およびCVE-2024-23109は、FortiSIEMにおける別のOSコマンドインジェクションの脆弱性CVE-2023-34992のパッチをバイパスする脆弱性だったことが、7日のBleepingComputerの記事により明らかに。
影響を受けるのは以下のバージョン:
- FortiSIEM バージョン 7.1.0 〜 7.1.1
- FortiSIEM バージョン 7.0.0 〜 7.0.2
- FortiSIEM バージョン 6.7.0 〜 6.7.8
- FortiSIEM バージョン 6.6.0 〜 6.6.3
- FortiSIEM バージョン 6.5.0 〜 6.5.2
- FortiSIEM バージョン 6.4.0 〜 6.4.2
リスク緩和のため、利用組織にはFortiSIEMを以下のバージョンにアップグレードさせることが推奨されている:
- FortiSIEM バージョン 7.1.2以降
- 今後リリース予定のFortiSIEM バージョン 7.2.0以降
- 今後リリース予定のFortiSIEM バージョン 7.0.3以降
- 今後リリース予定のFortiSIEM バージョン 6.7.9以降
- 今後リリース予定のFortiSIEM バージョン 6.6.5以降
- 今後リリース予定のFortiSIEM バージョン 6.5.3以降
- 今後リリース予定のFortiSIEM バージョン 6.4.4以降
ベライゾン、従業員6万3千人超の個人情報が侵害されたと発表 今回は内部関係者が関与か
米通信大手のベライゾンは、ある内部関係者が過失またはその他の理由で個人情報に不適切にアクセスするデータ侵害が発生したとして、現職の従業員を中心とする6万3,206人に通知した。
このインシデントが発生したのは昨年9月。同社はメイン州司法長官に提出した文書で、「不注意による開示」および「内部関係者の不正行為」が原因と説明した。内部調査は現在も続いているが、現時点では犯罪市場に同僚の情報を売り渡すことが目的だったとはみられていないようだ。
ベライゾンの広報担当は「悪意ある攻撃の証跡はなく、情報が外部に共有されたとは考えていない」とコメントした。同社では2022年10月にもセキュリティ侵害が発生しているが、これは、SIMスワップの手口で電話番号の乗っ取りを試みた攻撃者にプリペイド顧客の一部アカウントが侵害されるというものだった。