Fortinet FortiOS の sslvpnd の処理に任意のコードを実行される問題 (CVE-2022-42475)
2022.12.16 公開
2022.12.19 更新
2022.12.28 更新
2023.01.17 更新
2023.01.24 更新
概要
Fortinet 社は2022年12月12日、同社のアドバイザリ において、FortiOS (FortiGate, FortiWifi) の SSL-VPN 機能に存在する脆弱性を公表しました。この脆弱性を利用された場合、リモートの攻撃者に認証無しで任意のコードを実行される可能性があります。
既にこの脆弱性を悪用する攻撃が確認されており、FortiOS 自体がグローバルネットワークに配置される機器に搭載されるものであるため、修正プログラムの早急な適用と侵害の痕跡 (Indicators of Compromise) の確認が強く推奨されています。CISA の既知の悪用された脆弱性カタログ (KEV カタログ) にも追加されています。 (CISAの「既知の悪用された脆弱性カタログ」とは)
以下は、継続的脆弱性管理ツール SIDfm VM での当該脆弱性情報の画面を表示したものです。
影響を受ける環境
この脆弱性の影響を受けるのは以下の製品です。
- FortiOS 7.2.0 ~ 7.2.2
- FortiOS 7.0.0 ~ 7.0.8
- FortiOS 6.4.0 ~ 6.4.10
- FortiOS 6.2.2 ~ 6.2.11
- FortiOS 6.0.0 ~ 6.0.15 ※1
- FortiOS 5.6.0 ~ 5.6.14 ※1
- FortiOS 5.4.0 ~ 5.4.13 ※1
- FortiOS 5.2.0 ~ 5.2.15 ※1
- FortiOS 5.0.0 ~ 5.0.14 ※1
- FortiOS-6K7K 7.0.0 ~ 7.0.7
- FortiOS-6K7K 6.4.0 ~ 6.4.9
- FortiOS-6K7K 6.2.0 ~ 6.2.11
- FortiOS-6K7K 6.0.0 ~ 6.0.14
- FortiProxy 7.2.0 ~ 7.2.1 ※2
- FortiProxy 7.0.0 ~ 7.0.7 ※2
- FortiProxy 2.0.0 ~ 2.0.11 ※2
- FortiProxy 1.2.0 ~ 1.2.13 ※2
- FortiProxy 1.1.0 ~ 1.1.6 ※2
- FortiProxy 1.0.0 ~ 1.0.7 ※2
※1 : これらの製品はアドバイザリ公開時(2022年12月12日)には記載されていませんでしたが、2022年12月13日のアドバイザリの更新時に追加されました。これらの製品は既にサポートが終了されています。
※2 : これらの製品は2022年12月2日のアドバイザリの更新時に追加されました。(2022年12月28日 更新)
対策
修正プログラム
修正プログラムの適用が強く推奨されています。
- FortiOS 7.2.3 以上
- FortiOS 7.0.9 以上
- FortiOS 6.4.11 以上
- FortiOS 6.2.12 以上
-
FortiOS 6.0.16 以上
(未提供)(2022年12月19日 更新) - FortiOS-6K7K 7.0.8 以上 (未提供)
- FortiOS-6K7K 6.4.10 以上
-
FortiOS-6K7K 6.2.12 以上
(未提供)(2022年12月28日 更新) - FortiOS-6K7K 6.0.15 以上
- FortiProxy 7.2.2 以上 (2022年12月28日 更新)
- FortiProxy 7.0.8 以上 (2022年12月28日 更新)
- FortiProxy 2.0.12 以上 (未提供) (2022年12月28日 更新)
FortiOS-6K7K 6.2.12 が提供されました。FortiProxy の修正プログラムを追加しました。(2022年12月28日 更新)
回避方法
SSL-VPN を無効にしてください。
確認されている悪用事例
Fortinet 社による報告
Fortinet 社から悪用の調査結果 が公表されています。 この調査結果では、脆弱性を悪用してアプライアンスに投下されたマルウェアがどのような機能を持っていたのかといったことや、マルウェアがどのような通信を行っていたのかといったことが明らかにされています。また、攻撃者に関する知見のまとめとして次のように述べられています。
- このエクスプロイトには、FortiOSとその基盤となるハードウェアに関する深い理解が必要です。
- カスタムインプラントの使用は、FortiOSの様々な部分をリバースエンジニアリングするなど、攻撃者が高度な能力を有していることを示しています。
- この攻撃は、政府または政府関連のターゲットを好んでいることをうかがわせる、高度な標的型攻撃です。
- 発見された攻撃者のWindowsOS用サンプルは、オーストラリア、中国、ロシア、シンガポール、その他の東アジア諸国を含むUTC+8タイムゾーンのマシンでコンパイルされたことを示すアーチファクトを表示しています。
Fortinet 社は、この攻撃者の活動を引き続き追跡する、と述べています。
(2023年01月17日 追加)
Mandiant 社による報告
Mandiant 社は2023年01月19日、この脆弱性をゼロデイとして悪用したと考えられる攻撃キャンペーンに関するブログ記事 を公開しました。 この記事によると、この脆弱性の悪用は早ければ2022年10月には始まり、標的となった組織には欧州の政府機関やアフリカに位置するマネージドサービスプロバイダが含まれていたとされています。
Mandiant 社は、特定した新たなマルウェアを "BOLDMOVE" として追跡しています。Mandiant 社はこの脆弱性の悪用を直接観測したわけではありませんが、Fortinet 社によって悪用に関与したものとしてリストされている IP アドレスが Linux 版の BOLDMOVE の C&C サーバの IP アドレスとしてハードコードされていたことから、この脆弱性が BOLDMOVE を投下するために利用されたと考えているようです。
この攻撃キャンペーンは中国との関連が疑われています。その理由として、マルウェアが UTC+8 タイムゾーンのマシンでコンパイルされていることや中国語を表示するようにマシンが構成されていること、マルウェアの文字コードが簡体字の拡張であること、などが挙げられています。
(2023年01月24日 追加)
FortiOS 過去の悪用事例
徳島県つるぎ町立半田病院
ランサムウェア「LockBit2.0」による攻撃を受け、2021年10月31日未明から電子カルテシステムなど大半の医療系システムが利用不可能となった徳島県つるぎ町立半田病院の事例では、Fortinet FortiOS の CVE-2018-13379 が悪用され侵入された可能性が高いと、調査報告書 で述べられています。
地方独立行政法人大阪府立病院機構 大阪急性期・総合医療センター
ランサムウェアによる攻撃を受けて電子カルテシステムが停止した大阪急性期・総合医療センターの事例ですが、同病院に食事を提供していた院外調理センター「ベルキッチン」からランサムウェアに感染した可能性があるとされています。ベルキッチンを運営する事業者のデータセンターには VPN 機器が設置されており、この VPN 機器がつるぎ町立半田病院と同一機器 (Fortinet FortiOS 製品) でした。
更新履歴
-
2022年12月16日
- 新規公開
-
2022年12月19日
- 修正プログラム「FortiOS 6.0.16」の提供に伴い「対策」の「修正プログラム」を更新しました。
-
2022年12月28日
- 「影響を受ける環境」に FortiProxy 製品を追加しました。
- 「対策」の「修正プログラム」に FortiProxy 製品を追加しました。
- 修正プログラム「FortiOS-6K7K 6.2.12」の提供に伴い「対策」の「修正プログラム」を更新しました。
-
2023年01月17日
- 「確認されている悪用事例」を追加しました。
-
2023年01月24日
- 「確認されている悪用事例」に Mandiant 社の報告を追加しました。
参照
- "FortiOS - heap-based buffer overflow in sslvpnd," FortiGuard PSIRT Advisorie, Dec , 2022.
- 「FortiOS SSL-VPN の脆弱性対策について(CVE-2022-42475)」, 情報処理推進機構, 2022年12月13日
- 「FortiOSのヒープベースのバッファーオーバーフローの脆弱性(CVE-2022-42475)に関する注意喚起」, JPCERT/CC, 2022年12月13日
- 「徳島県つるぎ町立半田病院 コンピュータウイルス感染事案 有識者会議調査報告書」, つるぎ町立半田病院, 2022年6月7日
- 「徳島県つるぎ町立半田病院 コンピュータウイルス感染事案 有識者会議調査報告書 ― 技術編 ―」, つるぎ町立半田病院, 2022年6月7日
- 渥美 友里, 「大阪の病院は取引業者からランサムウエアがなぜ広がった?「攻撃の横展開」に注意」, 日経クロステック, 2022年12月1日
- Carl_Windsor_FTNT, "Technical Tip: [Critical vulnerability] Protect against heap-based buffer overflow in sslvpnd," Fortinet Community Knowledge Base, Dec 12, 2022. (確認日 2022年12月28日)
- Carl Windsor, Guillaume Lovet, Hongkei Chan, Alex Kong, "Analysis of FG-IR-22-398 – FortiOS - heap-based buffer overflow in SSLVPNd," FortiGuard PSIRT BLOGS, Jan 11, 2023. (確認日 2023年01月17日)
- Carl Windsor, Guillaume Lovet, Hongkei Chan, Alex Kong, 「SSLVPNdにおけるヒープベースのバッファオーバーフローの解析」, FortiGuard PSIRT ブログ, 2023年01月12日 (確認日 2023年01月17日)
- SCOTT HENDERSON, CRISTIANA KITTNER, SARAH HAWLEY, MARK LECHTIK, "Suspected Chinese Threat Actors Exploiting FortiOS Vulnerability (CVE-2022-42475)," MANDIANT BLOG, Jan 19, 2023. (確認日 2023年01月24日)