
2023年9月度 MBSD-SOCの検知傾向トピックス
2023年9月度のMBSD-SOCにおける検知傾向トピックスです。
Fortinet社は、12/12(月)にFortinet製品のSSL-VPN機能における脆弱性(CVE-2022-42475)を公開しました。影響対象の製品は、FortiOSおよびFortiOS-6K7Kとなっています。本脆弱性を悪用された場合、リモートから第三者に認証無しで任意のコードを実行される可能性があります。弊社SOCでは、12月末時点まで本脆弱性を悪用する攻撃は検知しておりません。Fortinet社からは、本脆弱性を悪用する攻撃が報告されているため、影響対象の製品を使用している場合は、早急に対策されることをお勧めいたします。
なお、攻撃が行われた場合は、機器のログに以下の痕跡が記録されることが確認されています。
Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“ |
また、上記以外に機器に不審なファイルが作成される、機器から不審な通信先に通信が発生するなどの痕跡が確認されています。Fortinet社は、これらの情報を基に被害を受けていないかを確認することを推奨しています。より詳細な最新情報は、Fortinet社が提供するアドバイザリ「FG-IR-22-398」をご確認ください。
影響対象
対策方法
影響対象のバージョンを使用されている場合は、Fortinet社から提供されている修正プログラムを適用してください。
回避策
参考情報
11月の『Microsoft Exchange Serverの脆弱性(CVE-2022-41040, CVE-2022-41082)を狙った攻撃』は、今月も引き続き検知しています。下図は、過去2か月間(2022/11/1~12/31)の検知数のグラフです。
本脆弱性は、マイクロソフト社が9/30(金)に公開したもので、リモートからの攻撃によって任意のコードが実行されてしまう恐れがあります。既にマイクロソフト社から対策済みのバージョンが公開されています。影響対象の製品を使用している場合は、早急に対策されることをお勧めいたします。
なお、先月と同様に攻撃元国の9割以上はアメリカとなっており、User-Agentヘッダにも大きな変化はなく、主に脆弱性スキャンツール「ZGrab」を悪用した攻撃が多数を占めています。
# | User-Agentヘッダ | 割合 |
1 | Mozilla/5.0 zgrab/0.x | 97.8% |
2 | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36 | 1.3% |
3 | Mozilla/5.0 - divd scan for ms exchange - see csirt.divd.nl | 0.4% |
4 | Mozilla/5.0 - DIVD scan for ms exchange - case 00054 - see csirt.divd.nl | 0.4% |
5 | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/104.0.5112.102 Safari/537.36 Edg/104.0.1293.63 | 0.1% |
影響対象
対策方法
影響対象のバージョンを使用されている場合は、マイクロソフト社から提供されている修正プログラムを適用してください。
参考情報
関連記事