またまた、FortiGateアプライアンスの侵害記事です。
今年の2月、中国政府が支援するハッカーが2023年に既知のFortiOS事前認証RCE脆弱性(CVE-2022-42475)を悪用してオランダ国防省に侵入。新しいリモートアクセス型トロイの木馬マルウェア(Coathanger)を使用して永続的なバックドアを作成したことを明らかにしています。
オランダ国立サイバーセキュリティセンターは以下のことを公表しています。
・2022年と2023年の数ヶ月で、世界中の少なくとも2万台のFortiGateシステムにアクセスしている
・フォーティネットが発表する2ヶ月前にゼロデイ攻撃としてFortiOSの脆弱性(CVE-2022-42475)を悪用している
また、脅威アクターは後日、侵害した標的のデバイスに Coathangerマルウェアをインストールしています。
このマルウェアは、ファームウェアのアップグレード後も残存し、FortiGate CLIコマンドを使ってもその存在を確認することは難しいです。これを削除する唯一の方法はデバイスをフォーマットして、再構成するしかありません。
攻撃者がゼロデイ攻撃を使用する場合、ネットワークへの侵入を防ぐのは困難です。侵入を前提としたセキュリティ体制の構築が必要不可欠といえます。
具体的な対策は、セグメンテーション、検知ポリシーのチューニング、インシデント対応計画、フォレンジック準備などがあります。