問題の概要
最近、セキュリティ研究者によって、新しい「SuperBlack」ランサムウェアがFortinetの認証バイパス脆弱性を悪用していることが発覚しました。この脆弱性は、攻撃者がファイアウォール・アプライアンスに不正アクセスし、カスタムのランサムウェアを展開することを可能にします。影響を受けるのは、Fortinetのファイアウォール・アプライアンスです。
ファイアウォール
ファイアウォールとは、コンピューターやネットワークをインターネットや他の外部からの不正アクセスから守るためのセキュリティ対策の一つです。ファイアウォールは、内部ネットワークと外部ネットワークの間に設置され、許可された通信だけが通過できるようにします。不正なアクセスやマルウェアの侵入を防ぐために重要な役割を果たしています。
認証バイパス脆弱性とは
認証バイパス脆弱性は、攻撃者が正当なユーザーとして認証されることなく、システムやアプリケーションにアクセスできるような状態になります。この場合、Fortinetのファイアウォール・アプライアンスの管理インターフェイスを通じて行われ、ランサムウェアの配布に至ります。
攻撃方法
「Mora_001」と呼ばれるオペレーターが、この脆弱性を利用して「super_admin」権限を取得し、新しい管理者アカウントを作成し、ネットワークをマッピングして横方向に移動し、データを盗み出し、ファイルを暗号化することができます。SuperBlackランサムウェアはLockBitランサムウェアとの関連性が見られます。
LockBitランサムウェアとは
LockBitランサムウェアは、データを暗号化し、身代金を要求するタイプのマルウェアです。攻撃者は、被害者のシステムに侵入し、重要なファイルやデータを暗号化します。その後、被害者に身代金を支払うよう要求し、支払わない場合はデータを公開または破壊すると脅迫します。
対策
このような攻撃からシステムを守るためには、まずはFortinetのファイアウォール・アプライアンスの認証バイパス脆弱性を修正することが重要です。また、ファイアウォールの設定を確認し、不正アクセスを防ぐためのセキュリティ対策を講じる必要があります。さらに、定期的なバックアップやソフトウェアの更新も重要です。
Windows Management Instrumentation (WMIC) とは
Windows Management Instrumentation (WMIC) は、Windows オペレーティング システムで使用される管理ツールです。システム管理者は、WMIC を使用してリモート システムを管理し、タスクを実行できます。しかし、このツールは攻撃者によっても悪用される可能性があります。
結論
新しい「SuperBlack」ランサムウェアがFortinetの認証バイパス脆弱性を悪用していることが発覚しました。影響を受けるのは、Fortinetのファイアウォール・アプライアンスです。攻撃者は「Mora_001」と呼ばれるオペレーターがこの脆弱性を利用して、「super_admin」権限を取得し、新しい管理者アカウントを作成し、ネットワークをマッピングして横方向に移動し、データを盗み出し、ファイルを暗号化することができます。対策としては、まずは脆弱性を修正し、ファイアウォールの設定を確認することなどが推奨されます。