Fortinet、ゼロデイ攻撃で悪用されたFortiManagerの脆弱性について警告：CVE-2024-47575

佐々山 Tacos

2024.10.24

Fortinet、ゼロデイ攻撃で悪用されたFortiManagerの脆弱性について警告：CVE-2024-47575

BleepingComputer – October 23, 2024

Fortinetは23日、FortiManager APIにおける重大な脆弱性CVE-2024-47575について公に開示し、ゼロデイとして悪用されていた旨を報告。この脆弱性のニュースは、今回の開示前からここ1週間ほど顧客間で話題となっており、すでに悪用されているとの情報がRedditなどのソーシャルメディアで飛び交っていた。米CISAも23日に同脆弱性をKEVカタログ（悪用が確認済みの脆弱性カタログ）に追加しており、11月13日までの対処を連邦政府機関に命じている。

関連記事：Fortinet、FortiManagerにおける未開示の脆弱性にパッチ

FortiManagerと管理対象ファイアウォールを繋ぐFGFMプロトコルに脆弱性が

Fortinetのアドバイザリによれば、CVE-2024-47575はFortiManagerのfgfmdデーモンにおける「重要機能の認証欠如」の脆弱性。CVSS v3スコアは9.8、深刻度は「Critical（緊急）」の評価で、認証されていないリモートの攻撃者に悪用された場合、特別に細工したリクエストを介した任意コード/コマンドの実行が可能になる恐れがある。影響を受けるのは、FortiManagerの複数バージョンに加え、FortiManager Cloudの複数バージョン。

当初の噂通り、この脆弱性はFortinetが作成したプロトコル「FortiGate to FortiManager （FGFM）」に関連するもの。FGFMは、FortiGateとFortiManagerを、特にNAT機能が使用されている状況でデプロイする際に使われる。FortiManagerは多数のFortiGateファイアウォールを一元管理するための製品で、このFGFMを使用することにより、新しいデバイスグループの作成、デバイスのプロビジョニングと追加、ポリシーパッケージやデバイス設定のインストールなどを行う。

APIにおける認証バイパス

今回の脆弱性CVE-2024-47575は、FortiManager FGFM APIにおける認証バイパスの脆弱性。攻撃者は、これを利用してAPIを通じたコマンドを実行したり情報を取得したりできるほか、当該FortiManagerの管理対象となっているデバイスおよびFortiManager自体を完全に乗っ取り、企業ネットワークへのさらなるアクセスを獲得できるようになるという。

MSPの下流顧客に影響が及ぶ恐れ

Fortinetによる公式の開示前からこの脆弱性について共有していたセキュリティ研究者のKevin Beaumont氏は、同製品がMSP（マネージドサービスプロバイダー）によく利用されていることを踏まえ、MSPの下流顧客へ影響が及ぶ危険について指摘。加えて、FGFMがNATトラバーサルに使われるプロトコルであることから、「管理対象のFortiGateファイアウォールいずれか1つにアクセスできれば、管理元のFortiManagerデバイスへもトラバースできる」上、「そこからまたほかのファイアウォールやネットワークにも辿り着ける」と述べた。なおBeaumont氏は、この脆弱性を「FortiJump」と名付けている。

FortiManagerサーバーからの情報窃取目的で悪用される

Fortinetによると、観測された攻撃においては、FortiManagerサーバーから複数種のファイルを盗むためにCVE-2024-47575が悪用されていたという。盗まれたファイルには、管理対象デバイスのIPやクレデンシャル、コンフィグレーションの情報が含まれていたとされる。これらの情報を使えば、FortiGateデバイスについて探り出した上でそれらのデバイスを攻撃し、企業ネットワークやMSPの下流顧客へ不正にアクセスすることが可能になるものとみられる。なおFortinetは、侵害された複数のFortiManagerサービスの中に、マルウェアをインストールされた形跡があるものや、管理対象デバイスの構成に変更が加えられた形跡があるものはなかったと述べた。

IoCの中には、中国アクターと関連する可能性のあるIPが

Fortinetは現時点で今回の攻撃を特定の脅威アクターと結びつけることはしておらず、影響を受けた顧客の数やタイプなども明かしていない。ただ、公式アドバイザリ上で提供されたIoCの中には、攻撃で観測されたIPアドレス4件が含まれており、うち1件（104.238.141.143）は、最近C2フレームワークSuperShellのインフラをホストしているのが観測されたものだという。SuperShellといえば、以前F5 BIG-IPルーターを狙った攻撃で利用されているが、この攻撃には中国の脅威アクターUNC5174が関与していたとの評価（確度は中程度）がなされている。また韓国のセキュリティ企業AhnLabによれば、SuperShellは中国語を使用する開発者により製作されたマルウェアだという。これらを踏まえると、CVE-2024-47575を狙った攻撃も中国のグループによるものだったとしてもおかしくない。さらにBeaumont氏はMastodonにおいて、中国のアクターの関与を示唆するような投稿をしている。

[Update: 10月24日] Mandiantが24日、CVE-2024-47575についてのレポート記事を公開。これによれば、同脆弱性は2024年6月からさまざまな業界のFortiManagerデバイス50台超が侵害された恐れがあるという。
攻撃を実施したのは、同社が「UNC5820」として追跡する脅威アクター。同アクターはこの脆弱性を悪用し、当該FortiManagerの管理下にあるFortiGateデバイスのコンフィグレーションデータを抜き取っていたとされる。
ただ、Mandiantは抜き取られたデータがその後ラテラルムーブメントやネットワークの侵害などに利用された形跡は見つかっていないとしている。最初の攻撃に続く次段階の活動がなかったことから、UNC5820の目的やロケーションを評価するのに十分なデータは得られていないとのこと。

アップグレードおよび回避策の適用を

Fortinetは脆弱性へのソリューションとして最新バージョンへのアップグレードを推奨しているが、影響を受けるバージョンによっては本記事執筆時点でまだ修正版がリリースされていないものもある。これらについては、今後数日間のうちにリリースされる見込み。同社は合わせて、回避策もアドバイザリ内で提供している。

なお、Beaumont氏が23日（現地時間）に公開したブログ記事によれば、Shodanでの調査の結果、FGFMポートがネットに露出しているFortiManagerはその時点で「59,534」存在しており、その大半が米国内に位置していたとのこと。