TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

Fortigate / FortiOSの脆弱性 (まとめ)

【要点】

◎2019年5月24日に、Fortinet から FortiOS の脆弱性(CVE-2018-13379, パストラバーサルの脆弱性)が公開され、同8月10日に Expoit Code が公開、パッチの適用が順調に進まず、2020年11月19日に約5万件の脆弱性のあるURLリストが公開された。


【目次】

概要

【概要】

■CVE番号

  • CVE-2018-13379

◆CVE-2018-13379 (Mitre, 2018/07/06)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-13379
https://vul.hatenadiary.com/entry/2018/07/06/000000

◆JVNDB-2018-015565 Fortinet FortiOS におけるパストラバーサルの脆弱性 (JVNDB, 2019/06/17)
https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-015565.html
https://vul.hatenadiary.com/entry/2019/06/17/000000_1

記事

【ニュース】

■2019年

◇2019年7月

◆セキュリティ製品の「VPN」機能に相次いで脆弱性 (Security NEXT, 2019/07/30)
http://www.security-next.com/106918
https://vul.hatenadiary.com/entry/2019/07/30/000000


◇2019年8月

◆複数製品「SSL VPN機能」を狙う攻撃が発生 - 悪用コード公開で (Security NEXT, 2019/08/28)
http://www.security-next.com/107672
https://malware-log.hatenablog.com/entry/2019/08/28/000000_4


◇2019年9月

◆スキャン通信も確認、複数のSSL VPN製品の脆弱性に関する注意喚起 - JPCERT/CC (マイナビニュース, 2019/09/02 16:06)
https://news.mynavi.jp/article/20190902-887399/
https://malware-log.hatenablog.com/entry/2019/09/02/000000_10

◆複数のSSL VPN製品の脆弱性に対する実証コードが公開、対策を呼びかけ(JPCERT/CC)(NetSecurity, 2019/09/03 06:00)

JPCERT/CCは、「複数の SSL VPN 製品の脆弱性に関する注意喚起」を発表した

https://scan.netsecurity.ne.jp/article/2019/09/03/42870.html
https://malware-log.hatenablog.com/entry/2019/09/03/000000_6


■2020年

◇2020年9月

◆VPN機器を狙った攻撃が急増 - セキュリティ事故を防ぐ3つのポイント (マイナビニュース, 2020/09/09 13:24)
https://news.mynavi.jp/article/20200909-1292378/
https://malware-log.hatenablog.com/entry/2020/09/09/000000_7


◇2020年11月

◆Hacker posts exploits for over 49,000 vulnerable Fortinet VPNs (BleepingComputer, 2020/11/22 11:40)
[ハッカーが49,000以上の脆弱なFortinet VPNの悪用を投稿]
https://www.bleepingcomputer.com/news/security/hacker-posts-exploits-for-over-49-000-vulnerable-fortinet-vpns/
https://malware-log.hatenablog.com/entry/2020/11/22/000000_1

◆Fortinet製SSL-VPNの脆弱性にパッチ未適用のリスト約5万件が公開される。日本企業も含む。 (Yahoo!(大元隆志), 2020/11/24 06:00)
https://news.yahoo.co.jp/byline/ohmototakashi/20201124-00209286/
https://malware-log.hatenablog.com/entry/2020/11/24/000000_3

◆Passwords exposed for almost 50,000 vulnerable Fortinet VPNs (BleepingComputer, 2020/11/25 08:16)
[約 50,000 の脆弱な Fortinet VPN のパスワードが公開されました。]
https://www.bleepingcomputer.com/news/security/passwords-exposed-for-almost-50-000-vulnerable-fortinet-vpns/
https://malware-log.hatenablog.com/entry/2020/11/25/000000_8

◆Fortinet製VPN使う脆弱なホスト情報が公開 - 平文パスワードなども (Security NEXT, 2020/11/27)
https://www.security-next.com/121089
https://malware-log.hatenablog.com/entry/2020/11/27/000000_5

◆警察庁に不正アクセス。Fortinet製SSL-VPNの脆弱性CVE-2018-13379を悪用か? (Yahoo!, 202011/28 17:23)
https://news.yahoo.co.jp/byline/ohmototakashi/20201128-00210012/
https://malware-log.hatenablog.com/entry/2020/11/28/000000_3

◆JPCERT/CC、FortiOS VPN機能の脆弱性影響を受けるホストについて注意喚起 (マイナビニュース, 2020/11/28 21:55)
https://news.mynavi.jp/article/20201128-1534161/
https://malware-log.hatenablog.com/entry/2020/11/28/000000_2

◆国内600の企業・行政機関にサイバー攻撃 VPNの欠陥悪用 (SankeiBiz, 2020/12/01 06:38)
https://www.sankeibiz.jp/workstyle/news/201201/cpd2012010638002-n1.htm
https://malware-log.hatenablog.com/entry/2020/12/01/000000_8

◆国内600組織にサイバー攻撃 テレワーク機器に欠陥、岐阜県庁など被害 (中日新聞, 2020/12/01 05:00)
https://www.chunichi.co.jp/article/162863/
https://malware-log.hatenablog.com/entry/2020/12/01/000000_5

◆600超の組織にサイバー攻撃 (共同通信, 2020/12/01)

テレワーク機器の欠陥悪用

https://www.47news.jp/news/5553155.html
https://malware-log.hatenablog.com/entry/2020/12/01/000000_4

【ブログ】

◆Attacking SSL VPN - Part 2: Breaking the Fortigate SSL VPN (Orange, 2019/08/10)
http://blog.orange.tw/2019/08/attacking-ssl-vpn-part-2-breaking-the-fortigate-ssl-vpn.html
https://malware-log.hatenablog.com/entry/2019/08/10/000000_4

◆警察庁内端末不正アクセスと5万件の脆弱なVPNホストの公開についてまとめてみた (piyolog, 2020/11/30)
https://piyolog.hatenadiary.jp/entry/2020/11/30/063636
https://malware-log.hatenablog.com/entry/2020/11/30/000000_4


【SNS】

◆After a nslookup on all IPs, I found that among the victims there are some Banks, many .gov domains and thousands of companies around the world. (Twitter(Bank Security), 2020/11/19)
https://twitter.com/Bank_Security/status/1329903459039129607
https://malware-log.hatenablog.com/entry/2020/11/19/000000_2

【公開情報】

◆FortiOS system file leak through SSL VPN via specially crafted HTTP resource requests (Fortinet, 2019/05/24)
https://www.fortiguard.com/psirt/FG-IR-18-384
https://vul.hatenadiary.com/entry/2019/05/24/000000_1

◆Fortinet 社製 FortiOS の SSL VPN 機能の脆弱性 (CVE-2018-13379) の影響を受けるホストに関する情報の公開について (JPCERT/CC, 2020/11/27)
https://www.jpcert.or.jp/newsflash/2020112701.html
https://malware-log.hatenablog.com/entry/2020/11/27/000000_6

【脆弱性情報】

◆CVE-2018-13379 (Mitre, 2018/07/06)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-13379
https://vul.hatenadiary.com/entry/2018/07/06/000000

◆JVNDB-2018-015565 Fortinet FortiOS におけるパストラバーサルの脆弱性 (JVNDB, 2019/06/17)
https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-015565.html
https://vul.hatenadiary.com/entry/2019/06/17/000000_1

【資料】

◆CVE-2018-13379 (CVEStalker)
https://www.cvestalker.com/cve.php?cve=CVE-2018-13379

【データ】

◆Fortinet-SSL-VPN-Hacked-list-of-IPs (stefanbosch, 2020/11/23)
https://github.com/stefanbosch/Fortinet-SSL-VPN-Hacked-list-of-IPs

【図表】

◇2019年9月

f:id:tanigawa:20190904053819j:plain
出典: https://scan.netsecurity.ne.jp/article/img/2019/09/03/42870/28352.html


◇2020年9月

f:id:tanigawa:20200909130736j:plain
Pulse Secure製品の脆弱性の対応状況
f:id:tanigawa:20200909131430j:plain
Pulse Secureの脆弱性(CVE-2019-11510)を狙った攻撃の観測件数
出典: https://news.mynavi.jp/article/20200909-1292378/


◇2020年11月

f:id:tanigawa:20201207065314p:plain
出典: https://twitter.com/Bank_Security/status/1329426020647243778/photo/3

【関連情報】

◆VPN (まとめ)
https://malware-log.hatenablog.com/entry/VPN

関連情報

【関連まとめ記事】

全体まとめ

◆脆弱性 (まとめ)
https://malware-log.hatenablog.com/entry/Vuln


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2022