Fortinet、ファイアウォールの乗っ取りを目的とした認証バイパスのゼロデイ脆弱性を警告(CVE-2024-55591) | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Fortinet、ファイアウォールの乗っ取りを目的とした認証バイパスのゼロデイ脆弱性を警告(CVE-2024-55591)

Threat Report

Fortinet

FortiOS

FortiProxy

Fortinet、ファイアウォールの乗っ取りを目的とした認証バイパスのゼロデイ脆弱性を警告(CVE-2024-55591)

Yoshida

Yoshida

2025.01.15

1月14日:サイバーセキュリティ関連ニュース

Fortinet、ファイアウォールの乗っ取りを目的とした認証バイパスのゼロデイ脆弱性を警告(CVE-2024-55591)

Bleeping Computer – January 14, 2025

Fortinetによると、攻撃者がFortiOSとFortiProxyにおける新たな認証バイパスのゼロデイ脆弱性を悪用し、同社製ファイアウォールを乗っ取った上で、各企業のネットワークへの侵入行為を行っているという。

このセキュリティ欠陥(CVE-2024-55591)の悪用に成功すると、リモートの攻撃者はNode.jsのWebソケットモジュールに不正なリクエストを送信することでスーパー管理者権限を取得できる。

影響を受ける製品は以下の通り。

  • FortiOS 7.0.0〜7.0.16
  • FortiProxy 7.0.0〜7.0.19
  • FortiProxy 7.2.0〜7.2.12

同社によると、攻撃者は感染したデバイス上で管理者ユーザーまたはローカルユーザーをランダムに生成し、既存のSSL VPNユーザーグループ、あるいは新たに作成するユーザーグループにそれらを追加しているとのこと。またファイアウォールのポリシーやその他の設定を追加/変更し、事前に作成した不正アカウントを使ってSSL VPNにログインすることで、内部ネットワークへのアクセスを確保していることが確認されている。

同社はこのキャンペーンに関する追加情報を提供していないものの、管理者向けの回避策をいくつか紹介している。

なおこの件については、サイバーセキュリティ企業のArctic Wolfも10日に報告書を発表。その報告書には、インターネットに公開された管理インターフェースを持つFortinet FortiGateファイアウォールが11月中旬から攻撃を受けている旨が記された。

さらに被害の発生時期が重なっていることなどを考慮すると、このゼロデイ脆弱性の悪用行為は大規模に行われている可能性が高いと、Arctic Wolfは高確度で評価している。

【無料配布中!】インテリジェンス要件定義ガイド

インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』

以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック要件主導型インテリジェンスプログラムの構築方法の日本語訳バージョンを無料でダウンロードいただけます。

<ガイドブックの主なトピック>

本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。

  • 脅威プロファイルの確立
  • ステークホルダーの特定・分析
  • ユースケースの確立
  • 要件の定義と管理
  • データの収集と処理
  • 分析と生産
  • 報告
  • フィードバック
  • 実効性の評価

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ