以下のPSIRT ブログにて記載されている FG-IR-18-384 / CVE-2018-13379 の対策についてお知らせいたします。
悪意のあるアクターがFortiGate SSL-VPNの認証情報を公開
https://www.fortinet.com/jp/blog/psirt-blogs/malicious-actor-discloses-fortigate-ssl-vpn-credentials
対策については以下のリンクに記載がされています。
https://www.fortiguard.com/psirt/FG-IR-18-384
■脆弱性の概要
FortiOS SSL VPN Webポータルのパストラバーサルの脆弱性により、認証されていない攻撃者が特別に細工されたHTTPリソース要求を介してFortiOSシステムファイルをダウンロードする可能性があります。
フォーティネットは、悪意のある攻撃者がSSL-VPNアクセス情報を87,000台のFortiGateSSL-VPNデバイスに開示したことを認識しています。
これらのクレデンシャルは、アクターのスキャン時に FG-IR-18-384 / CVE-2018-13379に対してパッチが適用されていないシステムから取得されましたが、パスワードがリセットされていない、パッチが適用されている機器の可能性があります。
クレデンシャルがすでに侵害されている場合、アップグレード後のパスワードのリセットは、この脆弱性から保護するために重要であることに注意してください。
■影響を受ける製品
FortiOS 6.0.0 ~ 6.0.4
FortiOS 5.6.3 ~ 5.6.7
FortiOS 5.4.6 ~ 5.4.12
(上記以外のブランチとバージョンは影響を受けません)
SSL VPNサービス(Webモードまたはトンネルモード)が有効になっている場合に影響を受けます。
■対策
次の修復手順が実行されるまで、有効になっている可能性のあるすべてのVPN(SSL-VPNまたはIPSEC)を
無効にすることをお勧めします。
・修正されたFortiOSのバージョンへのアップグレード
FortiOS 5.4.13 以降
FortiOS 5.6.8 以降
FortiOS 6.0.5 以降
FortiOS 6.2.0 以降
ご利用機器のアップグレードパスについては以下のリンクにてご確認ください。
https://docs.fortinet.com/upgrade-tool
・パスワードリセット
すべてのクレデンシャルを潜在的に侵害されたものとして扱い、組織全体のパスワードリセットを
実行します。
・多要素認証の実装
フォーティネットは多要素認証の実装を推奨しています。これにより、現在および将来、侵害された
クレデンシャルの悪用を軽減できます。
■回避策
一時的な解決策として、唯一の回避策は、次のCLIコマンドを適用して、
SSL-VPNサービス(Webモードとトンネルモードの両方)を完全に無効にすることです。
config vpn ssl settings
unset source-interface
end
上記のシーケンスを正常に実行するには、SSLVPNに関連付けられたファイアウォールポリシーを最初に
設定解除する必要があることに注意してください。
例として、source-interfaceが「port1」でSSL VPNインターフェースが「ssl.root」の場合、
「unset source-interface」が正常に実行されるようにするには、次のCLIコマンドを設定します。
config vpn ssl settings
config authentication-rule
purge (purge all authentication-rules)
end
end
config firewall policy
delete [policy-id] (SSL VPN policy ID(s) that srcintf is "ssl.root" and dstintf is "port1")
end
ログインしたSSLVPNユーザーの資格情報を取得するためにこの脆弱性を悪用するコードが
開示されていることに注意してください。
上記のバージョンにアップグレードしない場合は、SSL VPNユーザーに対して2要素認証を
有効にすることで、このエクスプロイトの影響を軽減できます。
その場合、攻撃者は盗まれた資格情報を使用してSSLVPNユーザーになりすますことができなくなります。