PSIRT ブログ

ネットワークの整合性を確保するには、パッチ適用を優先することが不可欠

投稿者 Carl Windsor | 2021年6月2日

FortiGate SSL-VPNの脆弱性が悪用されているというFBI-CISA/NCSCの警告について

最近のFBIの勧告 によると、外国人ハッカーが、パッチが適用されていないフォーティネットのネットワーク機器の脆弱性を利用して、米国の地方自治体のネットワークにアクセスしたとのことです。

しかし、今回のアドバイザリは、サイバー犯罪者が新たに発見したセキュリティ問題を狙ったものではありません。これらの脆弱性の修正プログラムは、2年以上前にお客様に提供されていました。今回の事例に限らず、脆弱性のあるシステムにパッチを適用しないことは、多くの企業にとって最も重大なセキュリティギャップの一つであり、ネットワーク侵害やデータ損失の原因の大半を占めていることが明らかになっています

フォーティネットは、これらの脆弱性が発見されて以来、お客様への通知と教育を徹底して行い、影響を受けるシステムを最新のパッチリリースにアップグレードするよう繰り返し呼びかけてきました。これは、ソフトウェアやファームウェアの開発者であれば、その重要性を認識していることです。フォーティネットとNCSCFBI、CISA などの組織は、過去2年間に15件の通知や勧告をフォーティネットのお客様に発行し、影響を受けるシステムのアップデートを怠った場合のリスクを警告し、重要なパッチへのリンクを提供しています。

フォーティネットによるアドバイザリのタイムライン

 

Fortinet 

PSIRT Advisories

FG-IR-18-384 / CVE-2018-13379

May 24, 2019

 

NCSC & CSE

Advisory

Advisory: APT29 targets COVID-19 vaccine development

July 16, 2019

Fortinet

PSIRT Advisories

FG-IR-19-037 / CVE-2019-5591

July 26, 2019

Fortinet

PSIRT Blog

FortiOS and SSL Vulnerabilities

August 28, 2019

Fortinet

Knowledgebase Article

Technical Tip: Security vulnerabilities discussed at the BlackHat 2019 conference

August 28, 2019

NCSC

Advisory

Vulnerabilities exploited in VPN products used worldwide

October 02, 2019

NCSC

Weekly Threat Brief

ATP-29 targeting vaccine research NCSC reiterate to patch VPNs 

June 12, 2020

Fortinet

Advisory

FG-IR-19-283 / CVE-2020-12812).

July 13, 2020

Fortinet

Customer Support Bulletin 

CSB-200716-1

July 16, 2020

Fortinet

PSIRT Blog

ATP 29 Targeting SSL VPN Flaws

July 16, 2020

 

Fortinet

Email Notification

Follow-up email to all customers running insecure firmware

November 17, 2020

Fortinet

PSIRT Blog

Update Regarding CVE-2018-13379

November 30, 2020

FBI

Advisory

FBI Flash MI-000148-MW

May 27, 2021

FBI & CISA

Advisory

FBI-CISA Joint Advisory on Exploitation of Fortinet FortiOS Vulnerabilities

April 02, 2021

Fortinet

PSIRT Blog

Patch and Vulnerability Management

April 03, 2021

また、他のベンダーと同様に、今回の出来事を、いくつかのプロセスの修正を含む、継続的な学習と開発の経験に組み込みました。公開しているPSIRTポリシー を修正し、ISO規格にさらに準拠させました。また、毎月のPatch Tuesdayを採用し、お客様が直面する可能性のある潜在的な脆弱性について、より積極的なリスク管理と減災のプロセスを採用することを支援・奨励するための通知サービスを開始しました。

しかし、このような徹底した情報発信やプロセスの変更にもかかわらず、2021年5月27日に掲載されたFBI Flash Alert MI-000148-MW や、2021年4月2日に掲載されたFBIとCISAの共同勧告など、政府機関による最近の報告によると、依然としてパッチが適用されていないデバイスが存在し、犯罪組織に積極的に狙われていることがわかっています。このことは、ベンダー、業界、政府のアドバイスに従わず、積極的にデバイスをアップデートしないことを選択した組織のリスクをさらに強調するものです。

そのため、このリスクを減災するために、以下の勧告に記載されている推奨事項に直ちに従うよう、お客様に再度呼びかけています。最新のFBI Flash Alert勧告で言及されている特定のPSIRTは以下の通りです。

FG-IR-19-037 / CVE-2019-5591
FG-IR-18-384 / CVE-2018-13379
FG-IR-19-283 / CVE-2020-12812

また、影響を受けているお客様は、フォーティネットのPSIRTウェブサイトをご覧になり、ご利用のリリーストレイン*の最新版を実行しないことで生じるお客様の環境への潜在的なリスクを評価することをお勧めします。

セキュリティハイジーンはステップ1。私たちがお手伝いします

セキュリティの状況は常に変化しており、すべてのシステム (特にセキュリティデバイス) を維持することは、サイバー犯罪者の一歩先を行くために不可欠です。多くのベンダーと同様に、フォーティネットはお客様にサポートと定期的なファームウェアアップデートを提供し、ここに記載されているような問題を修正しています。しかし、これらのサービスを利用せず、一貫してシステムに重要なパッチを当てていない組織があることも明らかになっています。 

パッチの適用が延期されたり、完了しなかったりする理由は様々です。安全性やその他の懸念からパッチ適用のために重要なシステムをオフラインにすることができない、新しいアップデートのための面倒なテスト要件、さらには人員不足や経験不足のセキュリティチームなど、すべてが原因となります。そのような場合には、当社のオンラインおよび現地のテクニカルサポート担当者がご相談に応じます。しかし、影響を受けたシステムを運用していて、すぐに改善策を講じることができない場合、フォーティネットでは、アップデートが適用されるまで、すべてのSSL-VPN機能を直ちに無効にすることを推奨しています。

フォーティネットでは、お客様の組織を最善の方法で保護し、セキュリティを確保するために、お客様と常に一緒に行動しています。この継続的なプロセスにおいて、より良い協力関係を築くためのご意見をお待ちしております。ご提案やご意見がございましたら、PSIRTのコンタクトフォーム (英語)からご連絡ください。

また、このリンクから現在のフォーティネットPSIRTポリシーの詳細と、潜在的な脆弱性をPSIRTチームに提出する方法を知ることができます。

 

*FortiOS6.0、6.2といったOSバージョンのこと。

タグ: