パッチ適用だけでは不十分な場合 – GigaOm
役員説明会
どうしたの:
16,000 以上のフォーティネット ファイアウォールで、ステルスかつ永続的なバックドアが発見されました。これは新しい脆弱性ではなく、攻撃者がシステムの微妙な部分 (言語フォルダー) を悪用して、元の脆弱性にパッチが適用された後でも不正アクセスを維持するケースです。
それはどういう意味ですか:
「安全」とみなされたデバイスでも、依然として危険にさらされる可能性があります。攻撃者は、ファイル システム上に配置されたシンボリック リンクを介して機密システム ファイルに読み取り専用アクセスを行い、従来の認証と検出を完全にバイパスしていました。デバイスに数か月前にパッチが適用されたとしても、攻撃者は依然として存在する可能性があります。
ビジネスリスク:
- 機密設定ファイル (VPN、管理者データ、ユーザー データを含む) の漏洩
- 顧客向けインフラストラクチャが侵害された場合の風評リスク
- 業界に応じたコンプライアンス問題 (HIPAA、PCI など)
- デバイス設定と信頼境界を制御できなくなる
それに対して私たちが取り組んでいること:
当社では、ファームウェア パッチ、認証情報のリセット、ファイル システム監査、アクセス制御の更新を含む、対象を絞った修復計画を実装しました。また、将来的にこのような永続化戦術を監視するための長期的な制御も組み込みました。
リーダーシップのための重要なポイント:
これはベンダーや CVE ではありません。これは、パッチ適用は安全な運用モデルの 1 ステップにすぎないことを思い出させます。攻撃者は次の CVE の攻撃を待っていないため、すべてのネットワーク デバイスにわたる持続的な脅威の検出を含めるようにプロセスを更新しています。
どうしたの
攻撃者は、言語ファイル フォルダーにシンボリック リンクを埋め込むことでフォーティネット ファイアウォールを悪用しました。これらのリンクは機密性の高いルートレベルのファイルを指しており、SSL-VPN Web インターフェイスを介してアクセスできる可能性がありました。
その結果、攻撃者は資格情報や警告なしにシステム データへの読み取り専用アクセスを取得しました。このバックドアは、削除方法が分からない限り、ファームウェアのパッチ後も残ったままでした。
バックドアを削除した FortiOS バージョン:
- 7.6.2
- 7.4.7
- 7.2.11
- 7.0.17
- 6.4.16
古いものを実行している場合は、約束をし、それに応じて行動してください。
本当のレッスン
私たちはパッチ適用を完全なリセットとして考える傾向があります。それは違います。今日の攻撃者は執拗です。彼らはただ入ってきて横に移動するのではなく、静かに埋もれて留まります。
ここでの本当の問題は技術的な不具合ではありませんでした。それは、運用の信頼性における盲点でした。パッチを適用したら完了という思い込みです。その仮定はもはや安全ではありません。
運用解決計画: ワンクリック ランブック
ガイド: フォーティネット Symlink バックドア修復
目的:
FortiGate デバイスに影響を与えるシンボリック リンクのバックドアの脆弱性を修正します。これには、パッチ適用、監査、認証情報の衛生管理、および持続的な不正アクセスの削除の確認が含まれます。
1. 環境に到達する
- 使用中のすべてのフォーティネット デバイス (物理または仮想) を特定します。
- すべてのファームウェア バージョンをインベントリします。
- どのデバイスで SSL-VPN が有効になっているかを確認します。
2.ファームウェアパッチ
次の最小バージョンにパッチを適用します。
- フォーティiOS 7.6.2
- フォーティiOS 7.4.7
- フォーティiOS 7.2.11
- フォーティiOS 7.0.17
- フォーティiOS 6.4.16
手順:
- フォーティネット サポート ポータルからファームウェアをダウンロードします。
- ダウンタイムまたは継続的な更新ウィンドウをスケジュールします。
- アップデートを適用する前に設定をバックアップしてください。
- GUI または CLI を使用してファームウェアのアップデートを適用します。
3. パッチ後の検証
アップデート後:
- システムステータスの取得を使用してバージョンを確認します。
- SSL-VPN が使用されている場合は、それが動作していることを確認します。
- システム診断フラッシュ リストを実行して、未承認のシンボリック リンクが削除されていることを確認します (新しいファームウェアに含まれる Fortinet スクリプトにより、これが自動的にクリーンアップされます)。
4. 認証情報とセッションの健全性
- すべての管理者アカウントのパスワードを強制的にリセットします。
- FortiGate に保存されているローカル ユーザー認証情報を取り消して再発行します。
- 現在のすべての VPN セッションを無効にします。
5. システムの監査と構成
- 不明なユーザーの管理者アカウントのリストを確認します。
- 現在の構成ファイルを検証し (完全な構成を表示)、予期しない変更がないかどうかを確認します。
- ファイル システムで残りのシンボリックリンクを検索します (オプション)。
find / -type l -ls | grep -v "/usr"
6. 監視と検出
- SSL-VPN および管理インターフェイスで完全なログを有効にします。
- 分析と保存のためにログをエクスポートします。
- SIEM と統合して、以下についてアラートを送信します。
- 異常な管理者アクセス
- 通常とは異なる Web リソースへのアクセス
- 予想される氷の外での VPN アクセス
7. SSL-VPN の強化
- 外部への暴露を制限します (IP ホワイトリストまたはジオフェンスを使用します)。
- すべての VPN アクセスで MFA を要求します。
- どうしても必要な場合を除き、Web モードへのアクセスを無効にします。
- 未使用の Web コンポーネント (テーマ、言語パックなど) を無効にします。
変更管理の概要
為替レート: セキュリティホットフィックス
影響を受けるシステム: SSL-VPN を実行している FortiGate デバイス
インパクト: ファームウェアアップデート中の短い中断
リスクレベル: 中くらい
所有者の変更: [Insert name/contact]
ウィンドウを切り替える: [Insert time]
出金計画: 以下を参照してください
テスト計画: ファームウェアのバージョンを確認し、VPN アクセスを検証し、パッチ後の監査を実行します。
フォールバック計画
アップデートが失敗した場合:
- コンソール アクセスを使用して、以前のファームウェア パーティションに再起動します。
- 実行: exec set-next-reboot プライマリまたはセカンダリ (どちらが更新されたかに応じて)。
- バックアップから構成を復元します (パッチ適用前)。
- 問題の調査中の暴露を避けるために、SSL-VPN を一時的に無効にします。
- infosec に通知し、フォーティネット サポートを通じてエスカレーションします。
最終的な考え
これは失われたパッチではありませんでした。攻撃側が公正なプレーをするだろうと想定していたのは失敗だった。
何かが「脆弱である」かどうかだけを検証していると、全体像が欠けてしまいます。あなたは尋ねなければなりません:誰かがすでにここにいる可能性がありますか?
今日のセキュリティとは、攻撃者が活動できるスペースを削減し、攻撃者がシステムのエッジを利用して攻撃できると想定することを意味します。
「パッチ適用が不十分な場合」という投稿は、最初に Gigaom に掲載されました。
