United States Computer Emergency Readiness Team (US-CERT)は4月2日(米国時間)、「FBI-CISA Joint Advisory on Exploitation of Fortinet FortiOS Vulnerabilities |CISA」において、米国連邦捜査局(FBI)と国土安全保障省サイバーセキュリティ・インフラストラクチャー・セキュリティ庁(CISA)がFortinetのFortiOSが抱える既知の脆弱性を悪用した攻撃に関する共同サイバーセキュリティアドバイザリを発表したと伝えた。

アドバイザリによると、持続的脅威(APT)アクターがこれまでに明らかになっているFortiOSの複数の脆弱性を悪用して政府機関や民間企業などのネットワークにアクセスしている可能性があるという。

  • AA21-092A: APT Actors Exploit Vulnerabilities to Gain Initial Access for Future Attacks

    AA21-092A: APT Actors Exploit Vulnerabilities to Gain Initial Access for Future Attacks

FortiOSはFortinet社が提供するネットワーク機器用の専用OS。共同セキュリティアドバイザリでは、特に以下の3つの脆弱性がAPTアクターによって悪用されている可能性が高いと指摘されている。

  • CVE 2018-13379
  • CVE-2020 12812
  • CVE-2019-5591

APTアクターは、これらの脆弱性を悪用して対象組織のネットワークにアクセスし、後続の機密情報の奪取やデータ暗号化攻撃のための足掛かりにしている可能性があるという。

該当する脆弱性については、既に開発元より修正バージョンがリリースされているものの、依然としてアップデートを適用せずに脆弱性が放置されたままになっているデバイスも多数あるようだ。2020年11月には、CVE2018-13379の影響を受けるホストの情報がインターネット上のフォーラムなどで公開されているとしてCISAが注意喚起を行っている。

脆弱性のいくつかは深刻度が緊急(Critical)に分類されており注意が必要。CISAでは、ユーザーおよび管理者に対して、共同セキュリティアドバイザリを確認した上で早急に推奨される緩和策を適用するように呼びかけている。