役員説明会

どうしたの：

16,000 以上のフォーティネット ファイアウォールで、秘密の永続的なバックドアが発見されました。これは新しい脆弱性ではなく、攻撃者がシステムの微妙な部分 (言語フォルダー) を悪用して、元の脆弱性にパッチが適用された後でも不正アクセスを維持するケースでした。

それはどういう意味ですか：

「安全」であると考えられていたデバイスも依然として侵害される可能性があります。攻撃者は、ファイル システム上に配置されたシンボリック リンクを通じて機密システム ファイルに読み取り専用アクセスを行い、従来の認証と識別を完全にバイパスしていました。デバイスに数か月前にパッチが適用されている場合でも、攻撃者がまだ存在している可能性があります。

職業暴露：

• 機密設定ファイル (VPN、管理者データ、ユーザー データを含む) の漏洩
• 顧客対応インフラストラクチャが侵害された場合の風評リスク
• 業界に応じたコンプライアンス上の懸念 (HIPAA、PCI など)
• デバイス構成と信頼境界に対する制御の喪失

それに対して私たちが取り組んでいること:

当社では、ファームウェアのパッチ適用、資格情報のリセット、ファイル システムの監査、アクセス制御の更新を含む、対象を絞った修復計画を実装しました。また、将来的にそのような永続化戦略を監視するための長期的な管理も確立しました。

リーダーシップのための主なヒント:

これはベンダーや CVE に関するものではありません。これは、パッチ適用は安全なオペレーティング モデルの 1 つのステップにすぎないことを思い出させます。攻撃者は次の CVE による攻撃を待っているわけではないため、すべてのネットワーク デバイスにわたる継続的な脅威検出を組み込むためにプロセスを更新しています。

どうしたの

攻撃者は言語ファイル フォルダーにシンボリック リンクを配置することでフォーティネット ファイアウォールを悪用しました。これらのリンクは機密性の高いルートレベルのファイルを指しており、SSL-VPN Web インターフェイスを介してアクセスできる可能性がありました。

結果: 攻撃者は、資格情報や警告なしに、システム データへの読み取り専用アクセスを取得しました。このバックドアは、削除方法を知らなければ、ファームウェアのパッチ後もそのまま残りました。

バックドアを削除した FortiOS バージョン:

• 7.6.2
• 7.4.7
• 7.2.11
• 7.0.17
• 6.4.16

古いものを実行している場合は、妥協を受け入れ、それに応じて行動してください。

本当のレッスン

私たちはパッチ適用を完全なリセットと考えています。それ。現在も攻撃者は一定している。彼らはただ入ってきて横に移動するだけではなく、こっそり侵入して留まります。

ここでの本当の問題は技術的な欠陥ではありませんでした。これは運用の信頼性における盲点でした。つまり、パッチを適用すれば作業は完了するという前提です。その仮定はもはや安全ではありません。

運用問題解決計画: ワンクリック ランブック

プレイブック: フォーティネット Symlink バックドア修復

客観的：

FortiGate デバイスに影響を与えるシンボリックリンク バックドアの脆弱性に対処します。これには、パッチ適用、監査、認証情報の衛生管理、および持続的な不正アクセスの削除の確認が含まれます。

1. 環境の範囲を設定する

• 使用中のすべてのフォーティネット デバイス (物理または仮想) を特定します。
• すべてのファームウェア バージョンのリスト。
• どのデバイスで SSL-VPN が有効になっているかを確認します。

2. ファームウェアにパッチを適用する

次の最小バージョンにパッチを適用します。

• フォーティiOS 7.6.2
• フォーティiOS 7.4.7
• フォーティiOS 7.2.11
• フォーティiOS 7.0.17
• フォーティiOS 6.4.16

ステップ：

• フォーティネット サポート ポータルからファームウェアをダウンロードします。
• ダウンタイムまたはローリング アップグレード期間をスケジュールします。
• アップデートを適用する前に構成をバックアップします。
• GUI または CLI を介してファームウェアのアップデートを適用します。

3. パッチ後の検証

更新後:

• Get System State を使用してバージョンを確認します。
• SSL-VPN が使用されている場合は、SSL-VPN がオンになっていることを確認します。
• sys flash list の診断を実行して、未承認の symlink が削除されたことを確認します (新しいファームウェアに含まれる Fortinet スクリプトにより、これが自動的にクリアされます)。

4. 認証情報とセッションのサニタイズ

• すべての管理者アカウントのパスワードを強制的にリセットします。
• FortiGate に保存されているローカル ユーザー認証情報を取り消して再発行します。
• 既存の VPN セッションをすべて無効にします。

5. システムおよび構成の監査

• 不明なユーザーの管理者アカウント リストを確認します。
• 現在の構成ファイルに予期しない変更がないか検証します (完全な構成を表示)。
• ファイル システムで残りのシンボリック リンクを検索します (オプション)。

find / -type l -ls | grep -v "/usr"

6. 監視と検出

• 管理インターフェイスで SSL-VPN と完全なログを有効にします。
• 分析と保存のためにログをエクスポートします。
• アラートのために SIEM と統合します。
  • 異常な管理者ログイン
  • 珍しい Web リソースへのアクセス
  • 予想される地域外の VPN アクセス

7. SSL-VPN の強化

• 外部への暴露を制限します (IP ホワイトリストまたはジオフェンシングを使用します)。
• すべての VPN アクセスで MFA が必要です。
• どうしても必要な場合を除き、Web モード アクセスを無効にします。
• 使用しない Web コンポーネント (テーマ、言語パックなど) をオフにします。

変更管理の概要

変更タイプ: セキュリティホットフィックス
影響を受けるシステム: SSL-VPN を実行する FortiGate アプライアンス
効果： ファームウェアのアップグレード中の短時間の中断
リスクレベル: 中くらい
所有者の変更: [Insert name/contact]
変更ウィンドウ: [Insert time]
バックアウト計画: 以下を参照してください
テスト計画: ファームウェアのバージョンを確認し、VPN アクセスを検証し、パッチ後の監査を実行します。

ロールバック計画

アップグレードによってエラーが発生した場合:

1. コンソール アクセスを使用して、以前のファームウェア パーティションに再起動します。
   • 実行: exec set-next-reboot アップグレードされたものに応じて、プライマリまたはセカンダリ。
2. バックアップされた構成 (パッチ適用前) を復元します。
3. 問題の調査中は、SSL-VPN を一時的に無効にして、暴露を防ぎます。
4. InfoSec に通知し、フォーティネット サポートを通じて続行してください。

最終的な考え

これはパッチが欠けていたわけではありません。攻撃側が公平にプレーするとは信じられなかった。

何かが「安全でない」かどうかだけを確認していると、全体像が欠けてしまいます。あなたは尋ねなければなりません：誰かがすでにここにいる可能性がありますか？

今日のセキュリティとは、攻撃者が活動できる領域を縮小し、攻撃者がシステムのエッジを利用して攻撃できると想定することを意味します。

この投稿「パッチ適用が不十分な場合」は、最初に GigaOm に掲載されました。