概要

チーム・シムルクは、オープンソースのAI駆動型オフENSィーブセキュリティツール「CyberStrikeAI」を使用して、Fortinet FortiGateデバイスを標的とした大規模な攻撃が行われていることを発見しました。このツールは中国の国家安全保障局（MSS）と関連がある可能性があります。

CyberStrikeAIとは

「CyberStrikeAI」は、Go言語で開発されたAIネイティブなセキュリティテストプラットフォームです。GitHubユーザーのEd1s0nZによって作成され、100以上のセキュリティツールを統合し、知能的なオーケストレーションエンジンや役割に基づくテスト機能、専門スキルシステム、ライフサイクル管理などを提供します。

攻撃の詳細

Amazon Threat Intelligenceが最初に警告を発したサーバーIP（212.11.64[.]250）に関連するAI強化型キャンペーンにより、600以上のFortiGateデバイスが55カ国で侵害されました。このIPアドレスは、Scoutプラットフォームを使用して分析され、ポート8080でCyberStrikeAIサービスバナーを実行していることが確認されました。

攻撃の手法

攻撃者はAIを利用してステップバイステップの攻撃計画やコマンドシーケンス、エクスプロイトメソッドを生成しました。ゼロデイ脆弱性は使用されませんでしたが、露出した管理ポートと弱い単一要素認証を使用してアクセスを取得し、資格情報を収集しました。

開発者の背景

Ed1s0nZのGitHubプロフィールは、中国国家セキュリティ局（MSS）と関連がある可能性を示唆しています。彼はKnownsec 404 StarlinkプロジェクトにCyberStrikeAIを提出し、CNNVD（中国国家脆弱性データベース）2024レベル2貢献賞も受賞しました。

対策

• FortiGate装置の監査と管理インターフェースのインターネットへの公開を停止する
• マルチファクタ認証を全ネットワークエッジデバイスに強制する
• NetFlowおよびポートスキャンデータでCyberStrikeAIサービスバナー（ポート8080）を監視する
• IP 212.11.64[.]250と関連インフラストラクチャのブロックを行う
• バックアップインフラストラクチャを資格ベースの側面移動から堅牢化する

元記事: https://gbhackers.com/fortinet-fortigate-devices-targeted-by-cyberstrikeai/