米国連邦捜査局(FBI: Federal Bureau of Investigation)は11月16日(米国時間)、FatPipe社が提供しているネットワーク機器「MPVPN」について、少なくとも2021年5月からこれまで確認されていなかった脆弱性を利用して継続的な攻撃が行われていることを確認したとして、「FBI FLASH」を発行して警告を行った。攻撃者は、侵入に成功すると、対象のネットワークへの永続的なアクセスの足場を築いて長期にわたるアクティビティを確立するという。

  • FBI FLASH: An APT Group Exploiting a 0-day in FatPipe WARP、MPVPN、and IPVPN Software

    FBI FLASH: An APT Group Exploiting a 0-day in FatPipe WARP, MPVPN, and IPVPN Software

MPVPNに発見された脆弱性は、特定のHTTPリクエストに対する入力検証メカニズムが不足していることに起因するもので、攻撃者が対象のデバイスに対して特別に細工されたHTTPリクエストを送ることで攻撃用のWebシェルをアップロードして実行できる可能性があるという。

FBIの警告によれば、攻撃者が実際にこの脆弱性を利用してWebシェルを展開し、悪意のあるSSHサービスを設定することで米国内のインフラに対する攻撃を実施したことが確認されたという。

該当する脆弱性に関する情報は、FatPipe社による次のセキュリティアドバイザリにまとめられている。

同社が提供しているWARP、MPVPN、IPVPNの10.1.2および10.2.2以前のすべてのバージョンがこの脆弱性の影響を受けるとされている。この脆弱性に対処する回避策はないが、WANインタフェースでUIとSSHアクセスを無効にするか、信頼できるソースからのアクセスのみを許可するようにアクセスリストを構成することで、この問題を軽減できると説明されている。問題の実装そのものは、バージョン10.1.2r60p93およびバージョン10.2.2r44p1で修正されている。

FBIでは、影響を受けるデバイスを使用しているシステム管理者に対して、速やかにをデバイスをアップグレードすることを強く推奨している。また、FatPipeを積極的に使用していない場合は、WANインタフェースからのUIおよびSSHアクセスを無効にするといった他のFatPipeセキュリティに関する推奨事項に従うことを求めている。