-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2025-0003 JPCERT/CC 2025-01-15(公開) 2025-05-09(更新) <<< JPCERT/CC Alert 2025-01-15 >>> Fortinet製FortiOSおよびFortiProxyにおける認証回避の脆弱性(CVE-2024-55591)に関する注意喚起 https://www.jpcert.or.jp/at/2025/at250003.html I. 概要 2025年1月15日(現地時間)、FortinetはFortiOSおよびFortiProxyにおける 認証回避の脆弱性(CVE-2024-55591)に関するアドバイザリを公開しました。 本脆弱性により、遠隔の第三者によって細工されたリクエストを送信され、 super-adminの権限を取得される可能性があります。 Fortinetは、本脆弱性の悪用が報告されていることを公開しています。 Fortinet Authentication bypass in Node.js websocket module and CSF requests https://www.fortiguard.com/psirt/FG-IR-24-535 また、本脆弱性との直接の関係に言及はありませんが、米セキュリティ組織 Arctic Wolf Networksが1月10日(現地時間)に公表したFortinet製品の侵害 事案の調査記事では、2024年11月16日から12月末までの間に、特定の分野や 組織を限定せずに攻撃が行われたと述べています。 Arctic Wolf Networks Console Chaos: A Campaign Targeting Publicly Exposed Management Interfaces on Fortinet FortiGate Firewalls https://arcticwolf.com/resources/blog/console-chaos-targets-fortinet-fortigate-firewalls/ ** 更新:2025年5月9日追記 ********************************************** JPCERT/CCは、2025年3月以降に国内で発生したインシデントにおいて、本脆弱性 が悪用された事例があることを確認しました。 2月11日(現地時間)、Fortinetは、本脆弱性のアドバイザリにCSFリクエストに よる認証回避の脆弱性(CVE-2025-24472)を追記しています。また、3月13日 (現地時間)には、Forescoutからこれら2つの脆弱性を悪用するランサムウェア 攻撃が2025年1月から3月にかけて複数確認されたとする分析記事が公表されてい ます。 本脆弱性が今後もさまざまな攻撃に悪用される可能性があるため、速やかな侵害 調査および対策の実施を推奨します。 ************************************************************************ 本脆弱性の影響を受ける製品を利用している場合、後述「III. 対策」以降に 記載の情報とFortinetが提供する最新の情報を確認の上、対策の実施および 侵害有無の調査などを推奨します。また、今後も情報が更新される可能性が あるため、Fortinetなどが公開する情報を注視いただくことを推奨します。 II. 対象 本脆弱性の対象となる製品およびバージョンは次のとおりです。詳細は、 Fortinetが提供する最新の情報をご確認ください。 - FortiOS バージョン7.0.0から7.0.16まで - FortiProxy バージョン7.2.0から7.2.12まで - FortiProxy バージョン7.0.0から7.0.19まで III. 対策 Fortinetは本脆弱性を修正したバージョンへのアップグレードを推奨しています。 十分なテストを実施の上、修正済みバージョンの適用をご検討ください。 - FortiOS バージョン7.0.17およびそれ以降 - FortiProxy バージョン7.2.13およびそれ以降 - FortiProxy バージョン7.0.20およびそれ以降 IV. 回避策 Fortinetは本脆弱性に対して、次の回避策を提供しています。 修正済みバージョンの適用ができない場合は、Fortinetが提供する情報を確認 の上、回避策の適用をご検討ください。 - インターネットに接続されているWeb管理インタフェースを無効化する - Local-in Policyを使用して、Web管理インタフェースにアクセス可能なIPアドレスを制限する V. 侵害検出方法 Fortinetが提供する最新の情報などを参考に、脆弱性を悪用する攻撃の被害を 受けていないかご確認いただくことを推奨します。Fortinetのアドバイザリに は、侵害調査方法として脆弱性が悪用された可能性を示すログや攻撃元IPアド レス、攻撃者によって作成された管理者およびローカルユーザー名などの情報 が公開されています。 Arctic Wolf Networksが提供する情報にも、攻撃元IPアドレスなどの情報が 記載されていますので、あわせてご確認ください。 ** 更新:2025年5月9日追記 ********************************************** Forescoutは、本脆弱性(CVE-2024-55591やCVE-2025-24472)を悪用したランサム ウェアを使用する攻撃に関する分析記事を公表しています。本記事によると、1月 から3月にかけて複数の被害事例を確認しているとのことです。本記事では具体的 な手口や複数のインディケータ情報(IoC)を確認できます。 また、2025年3月31日(現地時間)、Fortinetは、本脆弱性のアドバイザリにて IoC情報を追加しています。侵害有無を調査する際の参考にしてください。 Forescout New Ransomware Operator Exploits Fortinet Vulnerability Duo https://www.forescout.com/blog/new-ransomware-operator-exploits-fortinet-vulnerability-duo/ ************************************************************************ 今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで ご連絡ください。 ________ 改訂履歴 2025-01-15 公開 2025-05-09 「I. 概要」「V. 侵害検出方法」に追記 ====================================================================== 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC) 早期警戒グループ Email:ew-info@jpcert.or.jp -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJoHZK/AAoJEDoQgdvpn3qqmEYQALB6JCJAoI3DD84XKnm1vLQa jU+B0gxeFxQqtArInV34fvvlszukrbE4YnM5rTdzt3f9YpeHGEzoPETIURxeXUX9 fbBP0By9/XtnqIT0a4qC2TkCqYyZiCE14WxU1LjDE4j/KRsvJGEVWRoAqKzELlrO 5acT6x4tbvJm0dMk5xnlkiZLsJdCIPnFpeLxwbLcge54eSb4+8c+4fhKWYSaRPg6 0kl3KRcEsV1pMdVPgstyW4UdbhDc1hnofBdWh9jEfEX3tJmEUOUitGCbmtIlVnbs gCEducYQRm8IfTOaTzcIpZh6g8fZgiQT37YYI8GzcKrl1F2kwfAqCP/qVZntOWpi Xqk+0B1atL48nj4nPIztpw/0UOT8eK5RXerD7D7+zVo3baHMQtEYa7qEmOhFAOMC VvSs7sBvzDDF3yOr5nyg6kdvDcVdWrIstuIvH4Bx430WS7JJIicS1MqC83EmYkO0 4M0n3Hnl0bvOkCwoBBn9CAjg8jpZjSH73P5Fk8+qiE+AREuBwuFu6a+eMFPtnqTc x9HgJSeI996zQY32Xm4cWYhZbaErLauqlqIPLwO9dG/XoTMsS6Wg4XC6Fq84D7YJ tWCQComzlvCQvtI9zMtow0btNe1c6J+n4h5peHsMh94lWf1Lz0ai3Jqf2GbXtCFm ywo2mDwvVIUusuGgnX+D =azPX -----END PGP SIGNATURE-----