CVE-2022-42475 検出：政府機関や大企業に対する攻撃で悪用された FortiOS SSL-VPN のゼロデイ脆弱性

注意を払いましょう！セキュリティ研究者は、グローバルなサイバー防衛コミュニティに対して、FortiOS SSL-VPNのゼロデイ脆弱性について警告しています。この脆弱性は2022年12月に修正されました。CVE-2022-42475として追跡されたこのセキュリティ欠陥は、認証されていないリモートコード実行（RCE）を可能にし、政府機関や大規模組織を標的とした攻撃で悪用されています。 

CVE-2022-42475を検出：認証されていないリモートコード実行を引き起こす重大なヒープバッファオーバーフローの脆弱性

この脆弱性を悪用して政府組織を標的とした攻撃が増加していることを考慮し、公的インフラを潜在的な侵入から守るには、適時の検出と積極的なサイバー防御が重要です。攻撃者を見逃さないようにするために、SOC PrimeのDetection as Codeプラットフォームは、CVE-2022-42475の悪用試行を検出する専用のSigmaルール群を提供しています。 

FortiOS – sslvpndにおけるヒープベースのバッファオーバーフローの悪用指標 [CVE-2022-42475]（ウェブ経由）

このルールは、FortiOS SSL-VPNに関連した政府機関に対する標的攻撃の重大なヒープバッファオーバーフローの悪用パターンを特定するために、SOC Primeチームによって開発されました。この検出は、16種類のSIEM、EDR、およびXDRソリューションに対応し、 MITRE ATT&CK® フレームワーク v12において、公開されているアプリケーションへのエクスプロイト（T1190）という対応する技術を用いて初期アクセスの戦術に対処します。

FortiOSの可能性のあるヒープベースのバッファオーバーフローによるsslvpndの悪用指標 [CVE-2022-42475]

上記は、SOC PrimeチームによるCVE-2022-42475の悪用指標を特定するための別のSigmaルールです。この検出は、14種類のSIEM、EDR、およびXDR形式への翻訳が行われており、MITRE ATT&CKに準拠して初期アクセスおよび権限昇格の戦術に対処する技術として、公開されているアプリケーションへのエクスプロイト（T1190）および権限昇格のための悪用（T1068）に対応しています。 

新たな脆弱性に対応する750以上のSigmaルールが手に入ります！こちらをクリックして Explore Detections ボタンを押して、関連する脅威検出コンテンツ、対応するCTIリンク、ATT&CKリファレンス、脅威ハンティングのアイディア、および検出エンジニアリングガイダンスに即座にアクセスしてください。 

Explore Detections

CVE-2022-42475の分析

最新の SOC PrimeのDetection as Codeイノベーションレポートによると、プロアクティブな脆弱性の悪用は、2021-2022年のトップ検出コンテンツの優先事項の一つにランクされています。2023年に入っても、脅威アクターはセキュリティ上の欠陥を悪用しようとする試みを減速していません。 

Fortinetの研究者 は、昨年12月に修正されたゼロデイのFortiOS脆弱性を不明な敵対者が利用して国家組織や大規模組織を攻撃したと最近報告しました。これらの攻撃に利用されたFortiOS SSL-VPNの確認された脆弱性（CVE-2022-42475）は、ヒープベースのバッファオーバーフローのバグであり、特定の生成リクエストを通じてリモートコード実行（RCE）を行い、侵害されたシステムを麻痺させることができます。 

フォーティネットは2022年12月中旬にCVE-2022-42475として追跡するこの脆弱性を発見しました。野生でのアクティブな悪用の報告されたケースのため、同社は セキュリティアドバイザリー を公開し、提供されたIOCのリストに基づいてシステムを検証するための推奨事項を共有しました。同社はまた、FortiOS 7.2.3バージョンでバグを修正することによって関連するパッチをリリースし、IPS用のシグネチャを発行し、ベンダーの顧客が環境を保護できるようにしました。

しかし、2023年1月1日、フォーティネットは続報を発表し、敵対者がCVE-2022-42475を利用して侵害されたFortiOSインスタンスを利用して、トロイの木馬化されたIPSエンジンバージョンでマルウェアを拡散させたと詳細を記しました。同社の研究者は、特定の政府関連組織を標的とする攻撃を開始することを目的とした洗練された敵対者によって、悪用の試みが行われたことを認めました。 

現在進行中のキャンペーンでは、脅威アクターは永続性を維持し、検出を回避するために高度な技術を利用しており、それが全体的な攻撃の複雑さに貢献しています。この脆弱性の悪用により、攻撃者はログファイルを操作し、FortiOSのログ処理を破壊できる悪意のあるサンプルを投入することができます。 Fortinetの研究によれば、ハッカーの最終目標は、ターゲットデバイスのIPSアンチマルウェア機能を無効にするためのカスタムLinuxインプラントを拡散し、さらにペイロードを配信し、コマンド実行を可能にするためにリモートサーバーに接続することでした。

FortiOS環境の深い理解、汎用インプラントの使用、およびリバースエンジニアリング技術を含む高度に洗練された攻撃は、このキャンペーンに関連する脅威アクターが高度な能力を持ち、サイバー防御者にとって脅威となっていることを示しています。高度な持続的脅威に関連する悪意のある活動を特定するには、900以上のAPT関連ツールと攻撃のルールを集約したSOC Primeの検出コンテンツリポジトリを確認してください。無料で200以上を取得できます。 https://socprime.com/ またはOn Demandで全ルールにアクセスできます。 https://my.socprime.com/pricing.