世界中の14,000を超えるフォーティネットデバイスが、既知の脆弱性と新しいシンリンクベースの持続メカニズムの搾取を通じて妥協されており、機密データが露出する可能性があります。
Shadowserver Foundationは、脅威の俳優が、CVE-2022-42475、CVE-2023-27997、CVE-2024-21762を含む古い重大な脆弱性を利用して、フォーデバイスにアクセスできると報告しました。 Symlinkの変更によりベンダーの検出を回避し、更新後も持続したため、これらの古い脆弱性にパッチを当てた顧客組織は依然として妥協される可能性があるとフォルティネットは警告した。 Symlink、またはシンボリックリンクは、基本的に、侵害されたデバイス上のファイルへの攻撃者にアクセスできるファイルへのショートカットです。
Shadowserverの最新のスキャンでは、アジアの7,000近くの侵害されたFortinetデバイスが示され、ヨーロッパと北米でそれぞれ約3,500と2,600がありました。最も妥協したデバイスを持つ国は、米国、日本、台湾、中国です。 FortinetのCiso Carl Windsorによると、Symlinkメカニズムはデバイスのユーザーファイルシステムに埋め込まれ、「デバイスの構成を含む可能性がある」ファイルへの読み取り専用アクセスを提供します。ネットワークセキュリティベンダーは、SSL-VPNを有効にしない顧客は脅威活動の影響を受けないことに注目しました。
ニュージーランドのコンピューター緊急対応チーム(CERT NZ)は、2023年にさかのぼるFortinetの脆弱性の広範な搾取について警告しました。また、Cert-NZは、SymlinkメカニズムがFortinetデバイスの非常に敏感なデータへの脅威アクターにアクセスできるようになった可能性があると警告しました。 「この妥協により、アクターは資格情報や主要な資料を含む侵害されたデバイスから機密ファイルにアクセスできるようになった可能性があります」とCert-NZ Advisory氏は述べています。
フランスのコンピューター緊急対応チーム(CERT-FR)は、国内の爆発後の手法を利用した大規模な攻撃を報告しました。 「CERT-FRは、フランスの多数の侵害されたデバイスが関与する大規模なキャンペーンを認識しています。インシデント対応操作中に、CERT-FRは2023年初頭以来発生している妥協を学びました」と機関はその諮問で述べました。 Fortinetは、脅威活動の影響を受けた顧客と直接通信し、デバイスのファイルシステムからSymlinkを検出して削除し、それらが再配置されないようにする可能性のある更新と緩和をリリースしました。
CERT-FRは、更新を適用して悪意のあるシンリンクを削除するだけで「妥協の場合は十分ではない」ことを強調しました。代理店は、そのような顧客に、妥協したデバイスをネットワークから分離し、悪意のある活動を調査するために「データフリーズ」を実行するよう促しました。パスワードや証明書など、影響を受けるデバイスのすべての秘密をリセットします。侵害されたデバイスを介して送信された可能性のあるすべての認証秘密をリセットします。
Source: Symlink Attack、データ、リスクのあるデータを介してハッキングされたFortinetデバイス
