セキュリティ研究者は、悪意のあるハッカーがFortinetファイアウォールの新たに発見された脆弱性を悪用して企業やエンタープライズネットワークに侵入していると述べています。
火曜日に公開されたアドバイザリでは、セキュリティ製品メーカーのFortinetは、そのFortiGateファイアウォールで致命的な評価を受ける脆弱性(CVE-2024-55591として追跡されている)が「野生で悪用されている」と確認しています。
Fortinetはパッチを提供していますが、セキュリティ研究者はFortinetがこの脆弱性を把握し、修正を提供する前のセキュリティホールディングとして、昨年12月以来、ハッカーが脆弱性の大規模悪用を警告しています。
これは、企業ネットワークを侵入者から保護するために設計された人気のあるエンタープライズセキュリティ製品の脆弱性をハッカーが悪用している最新の例です。Fortinetのバグのニュースは、攻撃者が顧客のネットワークにアクセスを可能にするIvanti VPNサーバーの別のゼロデイ脆弱性を悪用していることが判明して数日後に発表されました。
サイバーセキュリティ会社のArctic Wolfは、先週ブログ投稿で、最近観察されたFortinet FortiGateファイアウォールデバイスに影響を与える「大規模な悪用」キャンペーンを観測したと述べました。この悪用は公共のインターネットに露出した管理インタフェースを持つFortinet FortiGateファイアウォールデバイスに影響を与えています。
Arctic Wolfのリード脅威インテリジェンスリサーチャー、ステファン・ホステラーはTechCrunchに対して、これによって観察された悪用がFortinetファイアウォールの新たに確認されたCVE-2024-55591脆弱性と関連していると確認しました。
ホステラーはTechCrunchに語ったところ、Arctic Wolfは「十数台のFortinetデバイスに影響を与える侵入」のクラスターを観測したと述べたが、これは実際に影響を受けたデバイスの合計数に比べて「限られたサンプル」に過ぎないと指摘しました。
ホステラーは「証拠は、狭い時間枠内に多数のデバイスを悪用する試みを示しています」と追加しました。
TechCrunchからの取材に対し、Fortinetのスポークスパーソンであるティファニー・カーシは、このハッキングキャンペーンの結果として何人のFortinetの顧客が侵害されたかを明らかにすることは拒否しましたが、同社は「積極的に顧客と連絡を取っている」と述べました。
また、Fortinetファイアウォールへの攻撃を行っているのは誰かは不明ですが、サイバーセキュリティ研究者のケビン・ボーモントはMastodonで「ランサムウェアオペレーターが悪用している」と述べています。
ホステラーは、このバグを悪用しているランサムウェア攻撃は「決して排除されていない」と述べ、以前の研究では、Arctic Foxが「AkiraやFogなどのランサムウェアグループのアフィリエイトがVPN接続を確立するために一部の同じネットワークプロバイダーを使用している」のを観測したと指摘しました。
火曜日に、米国のサイバーセキュリティCISAはFortinetの顧客に対して影響を受けるデバイスを更新するよう呼びかけました。
9月に、Fortinetは、攻撃者が組織の所有するサードパーティの共有クラウドドライブにアクセスした後、顧客データに関与する侵害を開示しました。
