PSIRT ブログ

SSL VPNの欠陥を標的としたATP 29

投稿者 Carl Windsor | 2020年7月16日

英国の国家サイバーセキュリティセンター(NCSC)とカナダ通信安全保障局(CSE)は、カナダ、米国、英国のCOVID-19ワクチン開発に関わる様々な組織を標的にして、COVID-19ワクチンの開発と試験に関連する情報や知的財産を盗む意図がある可能性が高い「APT29」(別名「デュークス」または「コージーベア」)の活動に関する調査結果を発表しました。

このグループの初期の攻撃ベクターには、セキュリティパッチを未だ適用されていない、フォーティネットを含むSSL-VPNソリューションの脆弱性が含まれていました。使用されたベクターの1つには、2019年5月にフォーティネットによって解決された脆弱性が含まれており、FG-IR-18-384 / CVE-2018-13379で開示されているように、特別に細工されたHTTPリソース要求を介して、認証されていない攻撃者がFortiOSのシステムファイルをダウンロードすることができる可能性がありました。開示時点でフォーティネットは、サポートされているすべてのリリース(5.4、5.6、6.0、6.2)に対するセキュリティパッチを利用可能にしていました。

その際には、PSIRTアドバイザリシステムを通じて、直ちにアップグレードする必要があることをお客様に通知し、リリースノートにその旨を記載しました。 アップグレードできない顧客に対しては、減災策が提供されました。 Black Hat 2019で研究者が脆弱性を公開した後、さらに透明性を高めるため、これは2019年8月にブログで再び強調されました。

すべてのお客様に対して、フォーティネットでは、以下のアクションを直ちに実行することを推奨しています。

  • すべてのFortiGateシステムを最新のファームウェアリリースにアップグレードしてください。最新のセキュリティパッチを使用することは、攻撃から保護するために重要です。
  • すべてのSSL-VPNローカルユーザーに正しいメールアドレスが割り当てられていることを確認し、すべてのユーザーにパスワードのリセットを実行してください。 認識されていないローカルユーザが存在する場合は、コーポレートポリシーに従って直ちに削除してください。
  • 全てのユーザ認証にリモートディレクトリシステム(LDAP,RADIUS)を使用することをお勧めします。
  • 多要素認証(二要素認証)を使用して、パスワード漏洩の影響を軽減してください。

攻撃からネットワークを保護するために、以下のような追加の対策を講じることができます。

  • ディセプション技術などのツールを使用して、脅威サイクルの早期に脅威を特定することで、組織のネットワークにおける水平方向の動きを防止し、検出する。
  • EDRを採用して、脅威がネットワークに定着する前に脅威を特定し、ブロックする。

Revision History:

2020-07-16 Initial version

タグ: