CVE-2022-42475 脆弱性

2022年から2023年にかけて、中国とつながりのある国家支援の脅威アクターが、既知の重大なセキュリティ上の欠陥を悪用して、世界中の2万台のFortinet FortiGateシステムに侵入しました。この侵害は、これまで認識されていたよりも広範囲にわたる影響を明らかにしています。

この作戦の責任者である国家の攻撃者は、Fortinet が FortiGate システムの脆弱性を公表する少なくとも 2 か月前にすでに認識していました。ゼロデイ ウィンドウと呼ばれるこの期間中に、攻撃者は 14,000 台のデバイスを侵害することに成功しました。

2024年初頭のオランダ軍事情報保安局（MIVD）と総合情報保安局（AIVD）の共同報告書によると、中国のハッカーはFortiOS/FortiProxyの重大なリモートコード実行脆弱性であるCVE-2022-42475を悪用しました。2022年から2023年にかけて数か月にわたり、攻撃者は脆弱なFortigateネットワークセキュリティアプライアンスにマルウェアをインストールすることに成功しました。

攻撃者はCoathanger RATを侵害されたデバイスに展開した

攻撃で発見された Coathanger リモート アクセス トロイの木馬 (RAT) マルウェアは、オランダ国防省のネットワークでも検出されました。このネットワークは、機密扱いではないプロジェクトの研究開発 (R&D) に特に使用されています。幸い、ネットワークがセグメント化されていたため、攻撃者は他のシステムに侵入できませんでした。

これまで公表されていなかったこのマルウェアは、システムの再起動やファームウェアのアップグレード後も存続する能力があり、オランダとその同盟国を標的とした政治スパイ活動で中国政府が支援するハッキンググループによって使用されました。これにより、国家の攻撃者は侵害されたシステムに永続的にアクセスできるようになりました。FortiGate からセキュリティ更新をインストールしても、国家の攻撃者はこのアクセスを維持します。

マルウェアがインストールされた被害者の正確な数は不明である。しかし、研究者らは、国家の攻撃者が世界中の何百人もの被害者にアクセスを拡大し、データ窃盗などのさらなる行為を可能にする可能性があると推測している。

サイバー犯罪者は侵入されたデバイスにまだアクセスできる可能性がある

2月以降、中国の脅威グループが2022年から2023年にかけて数か月にわたり、世界中の2万台以上のFortiGateシステムにアクセスしたことが明らかになりました。これは、フォーティネットがCVE-2022-42475の脆弱性を公開する少なくとも2か月前のことでした。

MIVD は、Coathanger マルウェアがシステム コールを傍受して検出を回避することに長けており、その存在を特定するのが困難であるため、中国のハッカーが多数の被害者へのアクセスを維持している可能性が高いことを示唆しています。さらに、このマルウェアは削除されにくく、ファームウェアのアップグレード後も存続します。2023 年 1 月に明らかになったように、CVE-2022-42475 はゼロデイ脆弱性として悪用され、主に政府機関や関連団体を標的としていました。

これらの攻撃は、ファームウェアのアップグレード後も存続するように設計されたサイバースパイマルウェアを使用して、パッチが適用されていない SonicWall Secure Mobile Access (SMA) アプライアンスを悪用することに焦点を当てた別の中国のハッキングキャンペーンと驚くほど類似しています。