Fortinet、パッチ済みデバイスに対するFortiCloud SSO悪用攻撃について認める：CVE-2025-59718

Fortinet、パッチ済みデバイスに対するFortiCloud SSO悪用攻撃について認める：CVE-2025-59718

SecurityWeek – January 23, 2026

Fortinetは1月22日、完全にパッチ済みのデバイス上でFortiCloudのSSHログイン認証を回避する攻撃が実施されている事実について認めた。この直前には、複数のFortigateユーザーらがパッチ済みファイアウォールがハッキングされた旨を報告していた。

この攻撃は、自動化を利用したハッカーらがFortiGateファイアウォールの設定に変更を加え、新たなユーザーアカウントの作成、VPNアクセスの有効化、およびデバイス構成設定ファイルの抜き取りを行うというもので、先週ユーザー数人やArctic Wolfにより報告されていた。

被害に遭ったユーザーらは、当該デバイスが脆弱性CVE-2025-59718およびCVE-2025-59719を修正する2025年12月リリースのバージョン（v7.4.10）を適用済みだったと伝えており、同脆弱性のパッチバイパスが悪用された可能性を指摘。またこのうちFortinetの開発者チームと連絡をとっていたユーザーは、「v7.4.10においては同脆弱性が残存しているか、修正されていない」ことをFortinetの開発者チームが認めたと報告した上、「開発者チームは今後リリース予定の7.4.11、7.6.6、8.0.0での修正を予定している」とも述べていた。

その後、1月22日にFortinet自身もこの攻撃に関するブログ記事を公開。CVE-2025-59718およびCVE-2025-59719に対するパッチを適用済みのデバイスへの攻撃が成功した複数の事例が特定されたと伝え、「新たな攻撃パスが示唆された」と述べた。また現在修正版の開発に取り組んでいるとも明かしたものの、その可用性については共有されていない。

同社はIoCを提供するとともに、インターネットからエッジデバイスへの管理者アクセスをブロックし、ローカルIPアドレスからのアクセスのみに制限することを推奨。加えて、追加のワークアラウンドとしてFortiCloud SSO機能の無効化も勧めている。

VMware vCenterの脆弱性が悪用される、CISAがKEVカタログに追加：CVE-2024-37079

The Hacker News – Jan 24, 2026

米CISAは1月23日、Broadcom VMware vCenter Serverに影響を与える重大な脆弱性CVE-2024-37079をKEVカタログ（悪用が確認済みの脆弱性カタログ）に追加。実際の攻撃で悪用された証拠が存在するとして、2月13日までの対応を米連邦政府機関に命じた。

CVE-2024-37079はDCE/RPCプロトコルの実装におけるヒープオーバーフローの脆弱性で、CVSSスコアは9.8。2024年6月、別のヒープオーバーフローの脆弱性CVE-2024-37080とともにBroadcomにより修正された。これらの脆弱性を、vCenter Serverへのネットワークアクセスを有する攻撃者が悪用した場合、特別に細工されたネットワークパケットを送付することによりリモートコード実行を達成できるようになると説明されている。

これらの脆弱性の発見者・報告者としてクレジットされている研究者らによれば、両脆弱性は4件の脆弱性のうちの2つとされる。その他2件（CVE-2024-38812、CVE-2024-38813）は2024年9月に修正されており、それぞれヒープオーバーフローの脆弱性、特権昇格の脆弱性と説明されている。なお研究者らは、ヒープオーバーフローの脆弱性であるCVE-2024-37080・CVE-2024-37079・CVE-2024-38812のうち1件を、特権昇格の脆弱性であるCVE-2024-38813と連鎖させて不正なリモートrootアクセスを達成することで、最終的にESXiを乗っ取ることが可能になることも発見していた。

ただし、CVE-2024-37079がどのような攻撃で、どのアクターまたはグループによって悪用されているのかなどの詳細は現時点で不明。なお、1月24日にはBroadcomもアドバイザリを更新し、同脆弱性が実際の攻撃で悪用されたことを公式に認めている。

【無料配布中レポート】

各種レポートを無料配布中！バナー画像よりダウンロード可能です。

【最新版】インテリジェンス要件定義に関するガイドブック

地政学レポート

OSINT関連レポート

ディープ＆ダークウェブレポート