Fortinet製SSL-VPNの脆弱性にパッチ未適用のリスト約5万件が公開される。日本企業も含む。
昨年発見されたFortinet製SSL-VPN用の脆弱性CVE-2018-13379に未だパッチが適用されていない機器のIP一覧がサイバー攻撃者によって公開された。このリストには日本企業も含まれていた。
■日本企業のIPも含む、約5万件のパッチ未適用の機器のIPが公開された
この問題を発見したのは脅威インテリジェンスアナリスト"Bank_Security"。ハッカーフォーラムのスレッドに、49,577台のCVE-2018-13379の脆弱性を悪用可能な機器リストが公開されているのを発見した。
サイバー攻撃者がこの情報を悪用すると、Fortinet製SSL-VPNからsslvpn_websessionファイルにアクセスし、 ログイン資格情報を盗むことが可能になる。これらの盗まれた資格情報は、ネットワークを危険にさらし、ランサムウェアを展開するために使用される可能性がある。
筆者がこのデバイスリストを入手し内容を確認した所、日本の企業や大学、政府機関、ISPと思われるIPアドレスも含まれていることがわかった。既にこのデバイスリストは世界中のニュースサイトで報道されており悪用されるリスクも高いと考えられるため、以下にあげる条件に該当する企業は早急な対策を検討することを推奨する。
■CVE-2018-13379のリスク
この脆弱性を利用するとパス・トラバーサルが実行可能になり、本来は閲覧不可であるはずのファイルの中身を見ようとする攻撃。CVSSは7.5であり、攻撃条件の複雑さは低く、攻撃に必要な特権レベルも不要であり、緊急性の高い脆弱性だ。
・対象となるOS
FortiOS 6.0- 6.0.0 to 6.0.4
FortiOS 5.6- 5.6.3 to 5.6.7
FortiOS 5.4- 5.4.6 to 5.4.12
※SSL VPN サービスを有効化している場合にのみ影響を受ける。
・解決策
FortiOS 5.4.13, 5.6.8, 6.0.5、6.2.0以上にアップグレードする。
・メーカ公式サイト
https://www.fortiguard.com/psirt/FG-IR-18-384
■SSL-VPNはテレワーク拡大によって標的となっている装置の一つ
COVID-19の感染拡大に伴い、世界中でテレワークが急増。このテレワークを支える重要な技術であるVPNだが、VPNはインターネットから脆弱性を悪用可能であるためサイバー攻撃者の標的となっている。
しかし、テレワーク対応のため利用者も多いためパッチを適用する機会を逃してしまった企業も多数存在すると思われる。また、一般的にVPN装置のような専門機器はエンドユーザーが直接パッチを適用するのではなく、SIer等に依頼することも多いためパッチ適用の費用が発生するケースもあり、パッチ適用作業の予算が確保されておらず、パッチ適用が後回しになるということも少なくない。
しかし、日本企業に対する不正アクセスやランサムウェア被害が急増しているのも事実であり、今回の脆弱性は侵入工作の第一歩として利用可能な脆弱性となる。優先度を挙げて対応することを推奨する。
