この修正では不十分な場合 – GigaOm

役員説明会

どうしたの：

16,000 以上のフォーティネット ファイアウォールで、ステルスかつ永続的なバックドアが発見されました。これは新しい脆弱性ではなく、元の脆弱性にパッチが適用された後でも、攻撃者がシステムの機密部分 (言語フォルダ) を悪用して不正アクセスを維持するケースでした。

意味:

「安全」と考えられていたデバイスでも危険にさらされる可能性があります。攻撃者は、ファイル システム上に配置されたシンボリック リンクを介して機密システム ファイルに読み取り専用アクセスを行い、従来の認証と識別を完全にバイパスしていました。デバイスに数か月前にパッチが適用されたとしても、攻撃者は依然として存在する可能性があります。

ビジネスリスク:

• 機密設定ファイル (VPN、管理者データ、ユーザー データを含む) の漏洩
• 顧客向けインフラストラクチャが侵害された場合の風評リスク
• 業界に応じたコンプライアンス上の懸念 (HIPAA、PCI など)
• デバイス構成と信頼境界に対する制御の喪失

それについて私たちが行うこと:

当社では、ファームウェアのパッチ適用、証明書のリセット、ファイル システムの監査、アクセス制御の更新を含む、対象を絞った修復プログラムを実装しました。また、将来的にこのような永続化戦術を監視するための長期的な制御も実装しました。

リーダーシップの中心的な出発点:

それは 1 つのベンダーや 1 つの CVE に関するものではありません。これは、パッチ適用は安全な運用モデルの 1 つのステップにすぎないことを思い出させます。攻撃者は次の CVE がヒットするのを待っているわけではないため、すべてのネットワーク デバイスにわたる継続的な脅威検出を組み込むようにプロセスを更新しています。

どうしたの

攻撃者は、言語ファイル フォルダーにシンボリック リンクを埋め込むことで、フォーティネットのファイアウォールを悪用しました。これらのリンクはルート レベルの機密ファイルを指しており、SSL-VPN Web インターフェイスを介してアクセスできました。

その結果、攻撃者は資格情報や警告なしにシステム データへの読み取り専用アクセスを取得しました。このバックドアは、削除方法を知らなければ、ファームウェアが修正された後も残りました。

バックドアを削除した FortiOS バージョン:

• 7.6.2
• 7.4.7
• 7.2.11
• 7.0.17
• 6.4.16

古いものを実行している場合は、妥協を許容し、それに応じて行動してください。

本当のレッスン

私たちは修正を完全なリセットと考える傾向があります。そうではありません。今日の攻撃者は執拗です。彼らはただ入ってきて横に移動するだけではなく、静かに食い込み、留まります。

ここでの本当の問題は技術的な欠陥ではありませんでした。これは運用上の信頼性の盲点でした。つまり、問題を修正したら完了という思い込みです。この仮定はもはや安全ではありません。

オプションソリューションプログラム：ワンクリックアクティベーション登録

ハンドブック: フォーティネットのシンボリックリンク修復

目的：

FortiGate デバイスに影響を与えるシンボリックリンク バックドアの脆弱性を修正します。これには、資格情報の修正、監査、サニタイズ、および進行中の不正アクセスの削除の確認が含まれます。

1. 環境の範囲を設定する

• 使用中のすべてのフォーティネット アプライアンス (物理または仮想) を特定します。
• すべてのファームウェア バージョンをストックします。
• どのデバイスで SSL-VPN が有効になっているかを確認します。

2.ファームウェアパッチ

次の最小バージョンを修正します。

• フォーティiOS 7.6.2
• フォーティiOS 7.4.7
• フォーティiOS 7.2.11
• フォーティiOS 7.0.17
• フォーティiOS 6.4.16

手順:

• フォーティネット サポート ポータルからファームウェアをダウンロードします。
• ダウンタイムまたはローリング アップグレードのウィンドウを設定します。
• 更新を適用する前に構成をバックアップします。
• GUI または CLI 経由でファームウェアのアップデートを適用します。

3. 修正後の検証

アップデート後:

• Get System Status を使用してバージョンを確認します。
• SSL-VPN を使用する場合は、それがアクティブであることを確認してください。
• システム診断フラッシュ チェックリストを実行して、未承認のシンボリック リンクが削除されていることを確認します (新しいファームウェアに含まれるフォーティネット スクリプトによって自動的にクリーンアップされます)。

4. 承認と会議の衛生

• すべての管理者アカウントのパスワードを強制的にリセットします。
• FortiGate に保存されているローカル ユーザー認証情報を取り消して再発行します。
• 現在の VPN セッションをすべてキャンセルします。

5. システムおよび構成の監査

• 不明なユーザーの管理者アカウントのリストを確認します。
• 現在の構成ファイルに予期しない変更がないか確認します (完全な構成を表示)。
• ファイル システムで残りのシンボリック リンクを検索します (オプション)。

find / -type l -ls | grep -v "/usr"

6. 監視と追跡

• SSL-VPN インターフェイスと管理インターフェイスで完全なログを有効にします。
• 分析と保存のためにログをエクスポートします。
• SIEM との統合により、以下についてアラートが生成されます。
  • 異常な管理者ログイン
  • 優れた Web リソースへのアクセス
  • 予想される地域外の VPN アクセス

7. SSL-VPN の強化

• 外部への暴露を制限します (IP ホワイトリストまたはジオフェンシングを使用します)。
• すべての VPN アクセスで MFA が必要です。
• どうしても必要な場合を除き、インターネット モードへのアクセスを無効にします。
• 使用しない Web コンポーネント (テーマ、言語パックなど) をオフにします。

変更管理の概要

変更の種類: セキュリティホットフィックス
影響を受けるシステム: SSL-VPN を実行している FortiGate デバイス
けが： ファームウェアのアップグレード中の短時間の中断
リスクレベル: 中くらい
所有者の変更: [Insert name/contact]
変更ウィンドウ: [Insert time]
バックアップ計画: 以下を参照してください
テスト計画: ファームウェアのバージョンを確認し、VPN アクセスを検証し、パッチ後のレビューを実行します。

ロールバックプログラム

アップグレードによって障害が発生した場合:

1. ターミナルアクセスを使用して、以前のファームウェアパーティションに再起動します。
   • 実行: exec set-next-reboot アップグレードに応じてプライマリまたはセカンダリ。
2. バックアップから構成を復元します (パッチ適用前)。
3. 問題の調査中は、SSL-VPN を一時的に無効にして公開を防ぎます。
4. infosec に通知し、フォーティネット サポートを通じてエスカレーションします。

最終的な考え

パッチのミスではありませんでした。攻撃側が公平にプレーすると想定していたのは失敗だった。

何かが「脆弱」かどうかだけを確認すると、全体像が見えなくなります。あなたは尋ねなければなりません：誰かがすでにここにいる可能性はありますか？

今日のセキュリティとは、攻撃者がシステムのエッジを利用して攻撃できるほど賢い場合、攻撃者が活動できる領域を減らすことを意味します。

パッチが十分ではない場合の投稿は、最初に Gigaom に掲載されました。