16,000超のFortinetデバイスがシンボリックリンクバックドアに感染

16,000超のFortinetデバイスがシンボリックリンクバックドアに感染

BleepingComputer – April 16, 2025

脅威監視プラットフォームShadowserver Foundationのレポートにより、インターネットに露出している16,000台以上のFortinetデバイスが新たなシンボリックリンクバックドアに感染していることがわかった。

このバックドアは過去に侵害されたデバイス上の機微ファイルへの読み取り専用アクセスを実現するもので、当初は14,000台のデバイスが感染したと報告されていたが、16日の時点では16,620台に増えている。Fortinetも先週、パッチ適用済みのFortiGateデバイスへのリモートアクセス維持に使われたメカニズムを新たに発見したと警告していた。

関連記事：ハッカーが古いFortiGateの脆弱性を悪用、シンボリックリンクを使って修正済みデバイスに限定アクセスを維持（CVE-2022-42475、CVE-2023-27997、CVE-2024-21762）

同社によると、これは新たな脆弱性を悪用したものではなく、2023年から2024年にかけて続いた攻撃に関連しているとみられ、その攻撃ではゼロデイ脆弱性が悪用されてFortiOSデバイスを侵害していた。攻撃者はアクセスに成功すると、SSL-VPN対応デバイスの言語ファイルフォルダにルートファイルシステムへのシンボリックリンクを作成。SSL-VPN対応のFortiGateデバイスでは言語ファイルが公開されているため、最初の脆弱性が修正された後でも前述のフォルダを参照し、ルートファイルシステムの読み取りが永続的に可能になると説明された。

Fortinetは顧客に対してメールでの通知を開始すると共に、感染したデバイスから有害なシンボリックリンクを検出・削除するAV／IPSシグネチャの更新版をリリースし、ファームウェアの最新バージョンにも同じ機能を追加したという。さらに今回のアップデートにより、内蔵Webサーバーによる未知のファイルやフォルダの提供も防止できるようだ。

Eブック無料配布中：Codebook 2024 ~サイバーセキュリティ分析レポート~

Codebookの記事が、Eブックになりました。サイバーセキュリティの2024年を振り返る本書では、昨年1年間を通じてCodebookで発信した重要なニュースの数々とそこから得られる教訓や知見を、弊社インテリジェンスアナリストの見解とともに紐解いていきます。

無料ダウンロードはこちらのバナーから：

目次

第1章：脅威ランドスケープの急速な変化:波乱のランサムウェア情勢と新たに報告された攻撃手法

第2章：世界情勢や地政学がサイバーセキュリティにもたらす影響

第3章：スティーラーの急成長と認証情報の漏洩が生むリスク

第4章：サプライチェーンリスク

第5章：2024 年に組織を脅かした脆弱性