Fortinet、ファイアウォールの乗っ取りを目的とした認証バイパスのゼロデイ脆弱性を警告（CVE-2024-55591）

1月14日：サイバーセキュリティ関連ニュース

Fortinet、ファイアウォールの乗っ取りを目的とした認証バイパスのゼロデイ脆弱性を警告（CVE-2024-55591）

Bleeping Computer – January 14, 2025

Fortinetによると、攻撃者がFortiOSとFortiProxyにおける新たな認証バイパスのゼロデイ脆弱性を悪用し、同社製ファイアウォールを乗っ取った上で、各企業のネットワークへの侵入行為を行っているという。

このセキュリティ欠陥（CVE-2024-55591）の悪用に成功すると、リモートの攻撃者はNode.jsのWebソケットモジュールに不正なリクエストを送信することでスーパー管理者権限を取得できる。

影響を受ける製品は以下の通り。

• FortiOS 7.0.0〜7.0.16
• FortiProxy 7.0.0〜7.0.19
• FortiProxy 7.2.0〜7.2.12

同社によると、攻撃者は感染したデバイス上で管理者ユーザーまたはローカルユーザーをランダムに生成し、既存のSSL VPNユーザーグループ、あるいは新たに作成するユーザーグループにそれらを追加しているとのこと。またファイアウォールのポリシーやその他の設定を追加／変更し、事前に作成した不正アカウントを使ってSSL VPNにログインすることで、内部ネットワークへのアクセスを確保していることが確認されている。

同社はこのキャンペーンに関する追加情報を提供していないものの、管理者向けの回避策をいくつか紹介している。

なおこの件については、サイバーセキュリティ企業のArctic Wolfも10日に報告書を発表。その報告書には、インターネットに公開された管理インターフェースを持つFortinet FortiGateファイアウォールが11月中旬から攻撃を受けている旨が記された。

さらに被害の発生時期が重なっていることなどを考慮すると、このゼロデイ脆弱性の悪用行為は大規模に行われている可能性が高いと、Arctic Wolfは高確度で評価している。

【無料配布中レポート】

各種レポートを無料配布中！バナー画像よりダウンロード可能です。

地政学レポート

インテリジェンス要件定義に関するガイドブック

ディープ＆ダークウェブレポート