Mandiantは、FortiManagerのゼロデイ脆弱性(CVE-2024-47575)の悪用に関する詳細を発表しました。この脆弱性は、2024年6月に初めて悪用が確認されました。この脆弱性により、攻撃者は影響を受けるデバイス上で任意のコードを実行できます。
私が特に興味深いと感じたのは、UNC5820として追跡されている脅威グループが、悪用されたFortiManagerによって管理されているFortiGateデバイスから構成データをどのようにステージングして抜き出したかということです。この詳細は、FortiManagerなどのセキュリティの管理インフラストラクチャを保護することがいかに重要であるかを浮き彫りにしています。なぜなら、それを侵害すると、ネットワーク全体にカスケード効果をもたらす可能性があるからです。
幸いなことに、Mandiantは、UNC5820が被害者の環境内で横方向に移動するために盗まれた構成データを利用したという証拠を発見しませんでした。しかし、彼らがこの情報を盗もうとしたという事実は、彼らが侵害されたアクセスをさらに悪用することを計画していた可能性を示唆しています。
この事件は、ネットワークセキュリティに対して警戒を怠らないことがいかに重要であるかを改めて認識させてくれました。セキュリティパッチでシステムを最新の状態に保ち、不審なアクティビティを監視し、最小限の権限の原則を実装することで、このような攻撃の犠牲になるリスクを大幅に減らすことができます。
