CVE-2024-47575 検出: FortiManager API の脆弱性がゼロデイ攻撃で悪用される

攻撃者は頻繁に注目を集める攻撃を、 RCE 人気のあるソフトウェア製品の脆弱性を利用して仕掛けます。最近、サイバーセキュリティの研究者は、FortiManagerのインスタンスが広範に悪用されていることを確認し、50以上のデバイスが複数の業界セクターで潜在的に侵害されている可能性があることを特定しました。防御者は、CVE-2024-47575として追跡される重大なFortiManager APIの脆弱性を明らかにし、このゼロデイ攻撃で敵対者が任意のコードやコマンドを実行し、管理デバイスの構成、IPアドレス、認証情報を含む機密ファイルを盗むために利用されていたことを明らかにしました。

CVE-2024-47575の悪用試行を検出する

新しい一日と共に、新たな重大な脆弱性がアクティブに悪用される事態が発生しました。今回、安全の専門家はFortiManagerのインスタンスにおけるセキュリティ欠陥を明らかにし、リモートコード実行の悪用が現実に使用されていることが判明しました。MandiantによってUNC5820と識別される新たな脅威アクターがこの悪用に関連付けられています。

潜在的な攻撃を先取りするために、サイバー防御者はSOCプライムプラットフォームを活用できます。これは、関連する検出ルールおよび先進的な脅威検出、自動化された脅威ハンティング、AI駆動の検出エンジニアリングの完全なツールスイートを提供します。

CVE-2024-47575の悪用試行を検出するために、SOCプライムチームによる専用のSigmaルールをご覧ください：

可能なCVE-2024-47575（Fortiguard FortiManager認証の欠如）悪用試行（ウェブサーバー経由）

このルールは、16のセキュリティ分析ソリューションと互換性があり、 MITRE ATT&CK®フレームワークとマッピングされています。このフレームワークは、公開フェーシングアプリケーション（T1190）を利用する初期アクセス戦術に対処します。

新しいCVEの検出を目的とした幅広い検出スタックを探索するには、 検出を探る ボタンをクリックしてください。セキュリティプロフェッショナルは、ATT&CKリファレンスやCTIリンクを伴う詳細なサイバー脅威コンテキストを取得し、組織固有のニーズに合わせた即時対応可能なメタデータを入手し、脅威調査を効率化できます。

検出を探る

CVE-2024-47575の分析

2024年10月に、 MandiantはFortinetの研究者と協力して 複数の業界で50を超えるFortiManagerアプライアンスを標的とする大規模な悪用を調査しました。CVSSスコア9.8で識別される非常に重要なゼロデイの脆弱性が悪用され、 CVE-2024-47575が判明し、脅威アクターは認証されていないFortiManagerデバイスを利用してRCEを実行できるようにしています。

According to Fortinetのアドバイザリによると、CVE-2024-47575は、FortiManager fgfmdデーモンで、重要な機能[CWE-306]の認証がないため、特別に作成されたリクエストを介してリモートで認証されていない攻撃者に任意のコードやコマンドを実行させる可能性があります。

Mandiantは、CVE-2024-47575の悪用に潜在的に関連する新たな脅威クラスターUNC5820を特定しました。この脅威は、2024年6月から既に脆弱性を武器化しています。攻撃者は、FortiGateデバイスの管理情報から構成データを流出させ、その中には詳細な構成やユーザーのFortiOS256でハッシュ化されたパスワードが含まれていました。このデータはUNC5820にとって、さらにFortiManagerを侵害し、ネットワーク内でラテラルムーブメントを行う許可を与える可能性があります。

特定されたゼロデイの欠陥は、FortiManagerバージョン7.xおよび6.x、FortiManager Cloudバージョン7.xおよび6.xに影響を与えます。また、古いFortiAnalyzerのモデル1000E、1000F、2000E、3000E、3000F、3000G、3500E、3500F、3500G、3700F、3700G、3900Eにも影響を与えます。これらがfgfmサービスを少なくとも1つのインターフェースで有効にしており、特定の構成を有効にしている場合です。

According to Censysによれば、オンラインで公開されているFortiManager管理ポータルは4,000台以上あり、そのうち約30%は米国に、約20%はMicrosoft Cloudに関連しています。しかし、これらFortiManagerアプライアンスのどれだけがCVE-2024-47575に脆弱であるかは、使用中の特定のデバイスバージョンに関する情報が不十分なため、まだ疑問が残っています。

CVE-2024-47575の悪用リスクを最小限に抑えるために、Fortinetは アドバイザリを発行し、 最新のファームウェアを直ちにインストールできないユーザーのための対策、パッチ更新、およびいくつかの緩和オプションを提供しています。たとえば、知らないデバイスが登録を試みるのをブロックする、（FortiManagerバージョン7.0.12以上、7.2.5以上、7.4.3以上）、特定のIPアドレスを許可リストに登録するためのローカルインポリシーを実行する（デバイスバージョン7.2.0以上）、またはカスタム証明書を活用する（ソフトウェアバージョン7.2.2以上、7.4.0以上、7.6.0以上）などです。

ゼロデイの脆弱性CVE-2024-47575は、 CISAの既知の悪用された脆弱性カタログに含まれています 。これはサイバーセキュリティ意識を向上させ、組織にその悪用によるリスクの高まりを通知するためです。CVE-2024-47575のRCEの可能性や悪用の簡単さから、そのリスクを過小評価することはできません。組織は積極的な防御を強化することが推奨されています。SOC Primeの 完全な製品スイート は、AI駆動の検出エンジニアリング、自動脅威ハンティング、および先進的な脅威検出のためのもので、セキュリティチームが攻撃の初期段階で新たな脅威を識別し、組織のサイバーセキュリティ姿勢をリスク最適化するのに役立ちます。