PSIRT ブログ
ネットワークの整合性を確保するには、パッチ適用を優先することが不可欠
FortiGate SSL-VPNの脆弱性が悪用されているというFBI-CISA/NCSCの警告について
最近のFBIの勧告 によると、外国人ハッカーが、パッチが適用されていないフォーティネットのネットワーク機器の脆弱性を利用して、米国の地方自治体のネットワークにアクセスしたとのことです。
しかし、今回のアドバイザリは、サイバー犯罪者が新たに発見したセキュリティ問題を狙ったものではありません。これらの脆弱性の修正プログラムは、2年以上前にお客様に提供されていました。今回の事例に限らず、脆弱性のあるシステムにパッチを適用しないことは、多くの企業にとって最も重大なセキュリティギャップの一つであり、ネットワーク侵害やデータ損失の原因の大半を占めていることが明らかになっています
フォーティネットは、これらの脆弱性が発見されて以来、お客様への通知と教育を徹底して行い、影響を受けるシステムを最新のパッチリリースにアップグレードするよう繰り返し呼びかけてきました。これは、ソフトウェアやファームウェアの開発者であれば、その重要性を認識していることです。フォーティネットとNCSC、FBI、CISA などの組織は、過去2年間に15件の通知や勧告をフォーティネットのお客様に発行し、影響を受けるシステムのアップデートを怠った場合のリスクを警告し、重要なパッチへのリンクを提供しています。
フォーティネットによるアドバイザリのタイムライン
Fortinet |
PSIRT Advisories |
May 24, 2019
|
|
NCSC & CSE |
Advisory |
July 16, 2019 |
|
Fortinet |
PSIRT Advisories |
July 26, 2019 |
|
Fortinet |
PSIRT Blog |
August 28, 2019 |
|
Fortinet |
Knowledgebase Article |
Technical Tip: Security vulnerabilities discussed at the BlackHat 2019 conference |
August 28, 2019 |
NCSC |
Advisory |
October 02, 2019 |
|
NCSC |
Weekly Threat Brief |
ATP-29 targeting vaccine research NCSC reiterate to patch VPNs |
June 12, 2020 |
Fortinet |
Advisory |
July 13, 2020 |
|
Fortinet |
Customer Support Bulletin |
July 16, 2020 |
|
Fortinet |
PSIRT Blog |
July 16, 2020
|
|
Fortinet |
Email Notification |
Follow-up email to all customers running insecure firmware |
November 17, 2020 |
Fortinet |
PSIRT Blog |
November 30, 2020 |
|
FBI |
Advisory |
May 27, 2021 |
|
FBI & CISA |
Advisory |
FBI-CISA Joint Advisory on Exploitation of Fortinet FortiOS Vulnerabilities |
April 02, 2021 |
Fortinet |
PSIRT Blog |
April 03, 2021 |
また、他のベンダーと同様に、今回の出来事を、いくつかのプロセスの修正を含む、継続的な学習と開発の経験に組み込みました。公開しているPSIRTポリシー を修正し、ISO規格にさらに準拠させました。また、毎月のPatch Tuesdayを採用し、お客様が直面する可能性のある潜在的な脆弱性について、より積極的なリスク管理と減災のプロセスを採用することを支援・奨励するための通知サービスを開始しました。
しかし、このような徹底した情報発信やプロセスの変更にもかかわらず、2021年5月27日に掲載されたFBI Flash Alert MI-000148-MW や、2021年4月2日に掲載されたFBIとCISAの共同勧告など、政府機関による最近の報告によると、依然としてパッチが適用されていないデバイスが存在し、犯罪組織に積極的に狙われていることがわかっています。このことは、ベンダー、業界、政府のアドバイスに従わず、積極的にデバイスをアップデートしないことを選択した組織のリスクをさらに強調するものです。
そのため、このリスクを減災するために、以下の勧告に記載されている推奨事項に直ちに従うよう、お客様に再度呼びかけています。最新のFBI Flash Alert勧告で言及されている特定のPSIRTは以下の通りです。
FG-IR-19-037 / CVE-2019-5591
FG-IR-18-384 / CVE-2018-13379
FG-IR-19-283 / CVE-2020-12812
また、影響を受けているお客様は、フォーティネットのPSIRTウェブサイトをご覧になり、ご利用のリリーストレイン*の最新版を実行しないことで生じるお客様の環境への潜在的なリスクを評価することをお勧めします。
セキュリティハイジーンはステップ1。私たちがお手伝いします
セキュリティの状況は常に変化しており、すべてのシステム (特にセキュリティデバイス) を維持することは、サイバー犯罪者の一歩先を行くために不可欠です。多くのベンダーと同様に、フォーティネットはお客様にサポートと定期的なファームウェアアップデートを提供し、ここに記載されているような問題を修正しています。しかし、これらのサービスを利用せず、一貫してシステムに重要なパッチを当てていない組織があることも明らかになっています。
パッチの適用が延期されたり、完了しなかったりする理由は様々です。安全性やその他の懸念からパッチ適用のために重要なシステムをオフラインにすることができない、新しいアップデートのための面倒なテスト要件、さらには人員不足や経験不足のセキュリティチームなど、すべてが原因となります。そのような場合には、当社のオンラインおよび現地のテクニカルサポート担当者がご相談に応じます。しかし、影響を受けたシステムを運用していて、すぐに改善策を講じることができない場合、フォーティネットでは、アップデートが適用されるまで、すべてのSSL-VPN機能を直ちに無効にすることを推奨しています。
フォーティネットでは、お客様の組織を最善の方法で保護し、セキュリティを確保するために、お客様と常に一緒に行動しています。この継続的なプロセスにおいて、より良い協力関係を築くためのご意見をお待ちしております。ご提案やご意見がございましたら、PSIRTのコンタクトフォーム (英語)からご連絡ください。
また、このリンクから現在のフォーティネットPSIRTポリシーの詳細と、潜在的な脆弱性をPSIRTチームに提出する方法を知ることができます。
*FortiOS6.0、6.2といったOSバージョンのこと。
