FortiBleedは、Fortinet社のFortiOSおよびFortiProxyに存在した重大な脆弱性(CVE-2023-27997)であり、2023年に公表されました。
TLS/SSL VPN機能におけるヒープベースのバッファオーバーリードに起因し、攻撃者による情報漏えいを可能にする点から大きな注目を集めました。
「2023年の脆弱性が、なぜ今になって再び注目されているのか」と疑問に思う方もいるかもしれません。
FortiBleedは2023年に公表・修正された脆弱性であることから、「すでに過去の問題」と捉えられがちです。
しかし、Fortinet製品では過去の深刻な脆弱性(CVE-2018-13379など)による認証情報流出の影響が現在も残っており、それらが今回の大規模攻撃の一因になっていると考えられています。
さらに、現在注目されている攻撃活動の特徴は、新しい未知の脆弱性を悪用していることではなく、漏えいした大量の認証情報を利用した自動攻撃が継続的に行われている点にあります。
以下の3つの要因が重なったことで、大きな話題となっています。
- 超大規模な「認証情報(パスワード)リスト」の出現
セキュリティ研究者の調査により、世界194カ国、約7万3,000台以上のFortinet製品(FortiGateなど)に関連するとされるログイン資格情報(ユーザ名とパスワード)がまとめられた巨大なリストが、攻撃者のサーバ上で発見されました。研究者らは、その一部が現在も有効である可能性を指摘しています。
過去に悪用された脆弱性やインフォスティーラー型マルウェアなどによって収集されたとみられる認証情報が、一気に悪用可能な状態で表に出たことが発端です。 - 「自動化ツール」による同時多発的な攻撃
攻撃者はゼロデイ脆弱性を探す手間を省き、自動化されたスキャンツールを用いてインターネット上に公開されているFortinetのVPNや管理画面を特定しています。
その上で、流出した認証情報を機械的に試行する「Credential Stuffing(認証情報詰め込み攻撃)」やパスワードスプレーなどの手法を用い、大規模な自動化によって多数の機器に対する不正ログインが試行され、一部では侵入に成功したと報告されています。 - 被害の「自己増殖」とサプライチェーンリスク
Hudson Rock社やArctic Wolf Labsなどの分析によると、一度侵入されたFortiGate VPNは、さらなる通信の盗聴や新たな認証情報を窃取するための「踏み台」として悪用される可能性があります。
これにより、被害企業とつながる政府機関や大手ITサービスなどのサプライチェーン全体へ被害が拡大する危険性が指摘されています。
つまり、システムにパッチを適用して過去の脆弱性を修正していても、「過去に漏えいした認証情報を変更していなかった」「初期パスワードを使い続けていた」環境は依然として危険です。
現在の問題の本質は、新たな脆弱性ではなく、過去に流出した認証情報が自動化された攻撃によって大規模に悪用されている点にあります。
FortiBleedは2023年に修正された情報漏えい脆弱性ですが、その影響は完全には終わっていません。
過去の脆弱性やインフォスティーラーによって流出した認証情報が現在も悪用されており、パッチ適用後であっても認証情報の変更やMFA(多要素認証)の導入を怠ると被害につながる可能性があります。
過去の脆弱性を修正しただけでは十分ではなく、パスワードの定期的な変更やMFAの導入、不要なVPN公開の見直しなど、認証情報そのものを守る対策がこれまで以上に重要になっています。
FortiBleed: 75,000 Fortinet Firewalls Compromised: Global Enterprises Exposed – Claim Your Ethical Disclosure
https://www.infostealers.com/article/fortibleed-75000-fortinet-firewalls-compromised-global-enterprises-exposed-claim-your-ethical-disclosure/
| この記事をシェア |
|
|---|
