各位
https://www.jpcert.or.jp/at/2025/at250003.html
I. 概要2025年1月15日(現地時間)、FortinetはFortiOSおよびFortiProxyにおける認証回避の脆弱性(CVE-2024-55591)に関するアドバイザリを公開しました。本脆弱性により、遠隔の第三者によって細工されたリクエストを送信され、super-adminの権限を取得される可能性があります。Fortinetは、本脆弱性の悪用が報告されていることを公開しています。
Fortinet
Authentication bypass in Node.js websocket module and CSF requests
https://www.fortiguard.com/psirt/FG-IR-24-535
また、本脆弱性との直接の関係に言及はありませんが、米セキュリティ組織Arctic Wolf Networksが1月10日(現地時間)に公表したFortinet製品の侵害事案の調査記事では、2024年11月16日から12月末までの間に、特定の分野や組織を限定せずに攻撃が行われたと述べています。
Arctic Wolf Networks
Console Chaos: A Campaign Targeting Publicly Exposed Management Interfaces on Fortinet FortiGate Firewalls
https://arcticwolf.com/resources/blog/console-chaos-targets-fortinet-fortigate-firewalls/
** 更新:2025年5月9日追記 ****************
JPCERT/CCは、2025年3月以降に国内で発生したインシデントにおいて、本脆弱性が悪用された事例があることを確認しました。2月11日(現地時間)、Fortinetは、本脆弱性のアドバイザリにCSFリクエストによる認証回避の脆弱性(CVE-2025-24472)を追記しています。また、3月13日(現地時間)には、Forescoutからこれら2つの脆弱性を悪用するランサムウェア攻撃が2025年1月から3月にかけて複数確認されたとする分析記事が公表されています。本脆弱性が今後もさまざまな攻撃に悪用される可能性があるため、速やかな侵害調査および対策の実施を推奨します。
**************************************************
本脆弱性の影響を受ける製品を利用している場合、後述「III. 対策」以降に記載の情報とFortinetが提供する最新の情報を確認の上、対策の実施および侵害有無の調査などを推奨します。また、今後も情報が更新される可能性があるため、Fortinetなどが公開する情報を注視いただくことを推奨します。
II. 対象本脆弱性の対象となる製品およびバージョンは次のとおりです。詳細は、Fortinetが提供する最新の情報をご確認ください。
- FortiOS バージョン7.0.0から7.0.16まで
- FortiProxy バージョン7.2.0から7.2.12まで
- FortiProxy バージョン7.0.0から7.0.19まで
III. 対策Fortinetは本脆弱性を修正したバージョンへのアップグレードを推奨しています。十分なテストを実施の上、修正済みバージョンの適用をご検討ください。
- FortiOS バージョン7.0.17およびそれ以降
- FortiProxy バージョン7.2.13およびそれ以降
- FortiProxy バージョン7.0.20およびそれ以降
IV. 回避策Fortinetは本脆弱性に対して、次の回避策を提供しています。修正済みバージョンの適用ができない場合は、Fortinetが提供する情報を確認の上、回避策の適用をご検討ください。
- インターネットに接続されているWeb管理インタフェースを無効化する
- Local-in Policyを使用して、Web管理インタフェースにアクセス可能なIPアドレスを制限する
V. 侵害検出方法Fortinetが提供する最新の情報などを参考に、脆弱性を悪用する攻撃の被害を受けていないかご確認いただくことを推奨します。Fortinetのアドバイザリには、侵害調査方法として脆弱性が悪用された可能性を示すログや攻撃元IPアドレス、攻撃者によって作成された管理者およびローカルユーザー名などの情報が公開されています。
Arctic Wolf Networksが提供する情報にも、攻撃元IPアドレスなどの情報が記載されていますので、あわせてご確認ください。
** 更新:2025年5月9日追記 ****************
Forescoutは、本脆弱性(CVE-2024-55591やCVE-2025-24472)を悪用したランサムウェアを使用する攻撃に関する分析記事を公表しています。本記事によると、1月から3月にかけて複数の被害事例を確認しているとのことです。本記事では具体的な手口や複数のインディケータ情報(IoC)を確認できます。また、2025年3月31日(現地時間)、Fortinetは、本脆弱性のアドバイザリにてIoC情報を追加しています。侵害有無を調査する際の参考にしてください。
Forescout
New Ransomware Operator Exploits Fortinet Vulnerability Duo
https://www.forescout.com/blog/new-ransomware-operator-exploits-fortinet-vulnerability-duo/
**************************************************
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
________
改訂履歴
2025-01-15 公開
2025-05-09 「I. 概要」「V. 侵害検出方法」に追記
==============================
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
JPCERT-AT-2025-0003
JPCERT/CC
2025-01-15(公開)
2025-05-09(更新)
JPCERT/CC Alert 2025-01-15
Fortinet製FortiOSおよびFortiProxyにおける認証回避の脆弱性(CVE-2024-55591)に関する注意喚起https://www.jpcert.or.jp/at/2025/at250003.html
I. 概要2025年1月15日(現地時間)、FortinetはFortiOSおよびFortiProxyにおける認証回避の脆弱性(CVE-2024-55591)に関するアドバイザリを公開しました。本脆弱性により、遠隔の第三者によって細工されたリクエストを送信され、super-adminの権限を取得される可能性があります。Fortinetは、本脆弱性の悪用が報告されていることを公開しています。
Fortinet
Authentication bypass in Node.js websocket module and CSF requests
https://www.fortiguard.com/psirt/FG-IR-24-535
また、本脆弱性との直接の関係に言及はありませんが、米セキュリティ組織Arctic Wolf Networksが1月10日(現地時間)に公表したFortinet製品の侵害事案の調査記事では、2024年11月16日から12月末までの間に、特定の分野や組織を限定せずに攻撃が行われたと述べています。
Arctic Wolf Networks
Console Chaos: A Campaign Targeting Publicly Exposed Management Interfaces on Fortinet FortiGate Firewalls
https://arcticwolf.com/resources/blog/console-chaos-targets-fortinet-fortigate-firewalls/
** 更新:2025年5月9日追記 ****************
JPCERT/CCは、2025年3月以降に国内で発生したインシデントにおいて、本脆弱性が悪用された事例があることを確認しました。2月11日(現地時間)、Fortinetは、本脆弱性のアドバイザリにCSFリクエストによる認証回避の脆弱性(CVE-2025-24472)を追記しています。また、3月13日(現地時間)には、Forescoutからこれら2つの脆弱性を悪用するランサムウェア攻撃が2025年1月から3月にかけて複数確認されたとする分析記事が公表されています。本脆弱性が今後もさまざまな攻撃に悪用される可能性があるため、速やかな侵害調査および対策の実施を推奨します。
**************************************************
本脆弱性の影響を受ける製品を利用している場合、後述「III. 対策」以降に記載の情報とFortinetが提供する最新の情報を確認の上、対策の実施および侵害有無の調査などを推奨します。また、今後も情報が更新される可能性があるため、Fortinetなどが公開する情報を注視いただくことを推奨します。
II. 対象本脆弱性の対象となる製品およびバージョンは次のとおりです。詳細は、Fortinetが提供する最新の情報をご確認ください。
- FortiOS バージョン7.0.0から7.0.16まで
- FortiProxy バージョン7.2.0から7.2.12まで
- FortiProxy バージョン7.0.0から7.0.19まで
III. 対策Fortinetは本脆弱性を修正したバージョンへのアップグレードを推奨しています。十分なテストを実施の上、修正済みバージョンの適用をご検討ください。
- FortiOS バージョン7.0.17およびそれ以降
- FortiProxy バージョン7.2.13およびそれ以降
- FortiProxy バージョン7.0.20およびそれ以降
IV. 回避策Fortinetは本脆弱性に対して、次の回避策を提供しています。修正済みバージョンの適用ができない場合は、Fortinetが提供する情報を確認の上、回避策の適用をご検討ください。
- インターネットに接続されているWeb管理インタフェースを無効化する
- Local-in Policyを使用して、Web管理インタフェースにアクセス可能なIPアドレスを制限する
V. 侵害検出方法Fortinetが提供する最新の情報などを参考に、脆弱性を悪用する攻撃の被害を受けていないかご確認いただくことを推奨します。Fortinetのアドバイザリには、侵害調査方法として脆弱性が悪用された可能性を示すログや攻撃元IPアドレス、攻撃者によって作成された管理者およびローカルユーザー名などの情報が公開されています。
Arctic Wolf Networksが提供する情報にも、攻撃元IPアドレスなどの情報が記載されていますので、あわせてご確認ください。
** 更新:2025年5月9日追記 ****************
Forescoutは、本脆弱性(CVE-2024-55591やCVE-2025-24472)を悪用したランサムウェアを使用する攻撃に関する分析記事を公表しています。本記事によると、1月から3月にかけて複数の被害事例を確認しているとのことです。本記事では具体的な手口や複数のインディケータ情報(IoC)を確認できます。また、2025年3月31日(現地時間)、Fortinetは、本脆弱性のアドバイザリにてIoC情報を追加しています。侵害有無を調査する際の参考にしてください。
Forescout
New Ransomware Operator Exploits Fortinet Vulnerability Duo
https://www.forescout.com/blog/new-ransomware-operator-exploits-fortinet-vulnerability-duo/
**************************************************
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
________
改訂履歴
2025-01-15 公開
2025-05-09 「I. 概要」「V. 侵害検出方法」に追記
==============================
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
前
コメント
共 有
