PSIRT ブログ

悪意のあるアクターがFortiGate SSL-VPNの認証情報を公開

投稿者 Carl Windsor | 2021年9月9日

フォーティネットは、悪意のあるアクターが最近、87,000台のFortiGate SSL-VPNデバイスへのSSL-VPNアクセス情報を公開したことを認識しました。これらの認証情報は、アクターがスキャンした時点で FG-IR-18-384 / CVE-2018-13379 に対するパッチが適用されていないままのシステムから取得されたものです。その後パッチが適用されているかもしれませんが、パスワードがリセットされていない場合は、デバイスは脆弱なままです。

このインシデントは、2019年5月に解決された古い脆弱性に関連しています。当時、フォーティネットは PSIRTアドバイザリを発行し、お客様と直接コミュニケーションを取りました。また、お客様のセキュリティは当社の最優先事項であるため、フォーティネットはその後、この問題を詳細に説明する複数のコーポレートブログを発行し、影響を受けるデバイスをアップグレードするようお客様に強く呼びかけました。アドバイザリ、ブレティン、および直接のコミュニケーションに加えて、これらのブログは 2019年8月2020年7月2021年4月そして2021年6月に再び公開されました。

フォーティネットは、お客様の組織が下記の影響を受けるバージョンのいずれかを実行していた場合、たとえデバイスをアップグレードしたとしても、Customer Support Bulletin やその他のアドバイザリ情報に従って、アップグレード後に推奨されるユーザーパスワードのリセットを実行する必要があることを改めて指摘しています。そうしないと、ユーザーの認証情報が以前に漏洩していた場合、アップグレード後も脆弱性が残る可能性があります。

繰り返しになりますが、お客様の組織がオリジナルのアドバイザリに記載されている影響を受けるバージョンを実行していた場合、フォーティネットは、お客様の認証情報が悪用されないように、直ちに以下の手順を取ることを推奨します。

  1. 以下の改善策が実施されるまで、すべてのVPN(SSL-VPNまたはIPSEC)を無効にする。
  2. 影響を受けたデバイスを、以下に示すように、直ちに利用可能な最新のリリースにアップグレードする。
  3. すべての認証情報が侵害の可能性があるものとして扱い、組織全体でパスワードリセットを行う。
  4. 多要素認証を導入することで、現在および将来にわたって、漏洩した認証情報の悪用を防止する。
  5. パスワードリセットの理由をユーザーに通知し、HIBPのようなサービスをドメインごとに監視する。パスワードが他のアカウントで再利用されている場合、 クレデンシャルスタッフィング攻撃に使用される可能性がある。

推奨されるアップグレード

FortiOS 5.4.13、5.6.14、6.0.13、または6.2.9以上にアップグレードしてください。

これらは、当初影響を受けたすべてのリリースに対する最新のリリースです。また、これらのリリースには追加の推奨される修正が含まれています。

参考

詳細については、2019年5月に発行されたアドバイザリ、Customer Support Bulletin (CSB-200716-1)、 2020年7月16日に発行されたPSIRTブログなど、過去のコミュニケーションを直ちに参照してください。

セキュリティハイジーンは最重要事項。私たちがお手伝いします

セキュリティの状況は常に変化しており、すべてのシステム (特にセキュリティデバイス) を維持することは、サイバー犯罪者の一歩先を行くために不可欠です。多くのベンダーと同様に、フォーティネットはお客様にサポートと定期的なファームウェアアップデートを提供し、ここに記載されているような問題を修正しています。しかし、これらのサービスを利用せず、一貫してシステムに重要なパッチを当てていない組織があることも明らかになっています。

パッチの適用が延期されたり、完了しなかったりする理由は様々です。安全性やその他の懸念からパッチ適用のために重要なシステムをオフラインにすることができない、新しいアップデートのための面倒なテスト要件、さらには人員不足や経験不足のセキュリティチームなど、すべてが原因となります。そのような場合には、当社のオンラインおよび現地のテクニカルサポート担当者がご相談に応じます。しかし、影響を受けたシステムを運用していて、すぐに改善策を講じることができない場合、フォーティネットでは、アップデートが適用されるまで、すべてのSSL-VPN機能を直ちに無効にすることを推奨しています。

フォーティネットでは、お客様の組織を最善の方法で保護し、セキュリティを確保するために、お客様と常に一緒に行動しています。この継続的なプロセスにおいて、より良い協力関係を築くためのご意見をお待ちしております。ご提案やご意見がございましたら、PSIRTのコンタクトフォーム (英語)からご連絡ください。

また、このリンクから現在のフォーティネットPSIRTポリシーの詳細と、潜在的な脆弱性をPSIRTチームに報告する方法をご覧いただけます。

タグ: