FortiOS/FortiProxy の脆弱性 CVE-2024-55591 の悪用を確認:直ちにアップデートを!

Active Exploitation of CVE-2024-55591 (CVSS 9.6): FortiOS and FortiProxy Under Threat

2025/01/14 SecurityOnline — Fortinet FortiOS/FortiProxy に影響をおよぼす認証バイパスの脆弱性 CVE-2024-55591 (CVSS:9.6) だが、実環境での積極的な悪用が確認されている。この脆弱性の悪用に成功したリモートの攻撃者は、Node.js WebSocket モジュールを標的とする巧妙に細工されたリクエストを介して、管理者権限を取得する可能性を手にする。

脆弱性 CVE-2024-55591 は、CWE-288 (代替えパス・チャネルを用いた認証バイパス) の脆弱性として分類されている。この脆弱性を悪用する攻撃者は、以下のアクションを実行できる:

  • デバイスを完全に制御する管理者アカウントを作成できる。
  • ファイアウォール・ポリシーやユーザー・グループ設定などを取り込んだ、システム・コンフィグを変更できる。
  • 内部ネットワークにアクセスするための、セキュアな VPN トンネルを確立できる。

この脆弱性は、FortiOS 7.0.0~7.0.16 および FortiProxy 7.0.0~7.0.19/7.2.0~7.2.12 に影響を及ぼす。すでに Fortinet は、修正版である FortiOS 7.0.17/FortiProxy 7.2.13 をリリースし、この脆弱性に対処している。

SecurityOnline が確認した事例において、脅威アクターは以下の一部または全ての操作を実行していた:

  • ランダムなユーザー名で、デバイス上に管理者アカウントを作成する。
  • ランダムなユーザー名で、デバイス上にローカル・ユーザー・アカウントを作成する。
  • ユーザー・グループの作成もしくは、既存の sslvpn ユーザー・グループ内に上記のローカル・ユーザーを追加する。
  • その他の設定 (ファイアウォール・ポリシー/ファイアウォール・アドレスなど) を追加/変更する
  • 上記のローカル・ユーザーを追加した sslvpn にログインし、内部ネットワークへのトンネルを確立する。

システム管理者に推奨されるのは、以下の疑わしいログ・エントリや動作の有無を確認することである。

  1. ランダムな管理者の作成ログ:type="event" subtype="system" level="information" vd="root" logdesc="Admin login successful" sn="1733486785" user="admin" ui="jsconsole" method="jsconsole" srcip=1.1.1.1 dstip=1.1.1.1 action="login" status="success" reason="none" profile="super_admin" msg="Administrator admin logged in successfully from jsconsole"
  2. 既知の攻撃者 IP からのログイン活動: 頻繁に使用されている IP アドレスは以下の通りである:45.55.158.47(多用されている)/87.249.138.47/155.133.4.175/37.19.196.65/149.22.94.37
  3.  管理アクション:
    • Gujhmk/Ed8x4k/G0xgey/Pvnw81/Alg7c4 などの、ランダムに生成された管理ユーザー名
    • ローカル・ユーザー/グループの作成や、ファイアウォール・ポリシーの変更。
    • 信頼された IP 範囲への管理アクセスの制限。

緩和策

  • パッチを適用:最新バージョンである FortiOS 7.0.17 以降/FortiProxy 7.2.13 以降へと、直ちにアップグレードする。ガイダンスについては、Fortinet から提供されるアップグレード・ツールで確認できる。
  • アクセスの制限:HTTP/HTTPS 管理インターフェースの無効化もしくは、ローカルイン・ポリシーを用いたアクセス制限の実施:
  • ログの監視: 定期的にシステムログを監査し、ログイン試行やコンフィグ変更などにおける異常なアクティビティの有無を確認する。
  • セキュリティの強化
    • 強力なパスワードを使用し、多要素認証 (MFA) を適用する。
      • 信頼された IP 範囲への管理アクセスを制限する。

年明けから、Fortinet は御難続きという感じです。今回の脆弱性との関係の有無は分かりませんが、2025/01/14 の「Fortinet Firewall を侵害したキャンペーンの詳細:ゼロデイ脆弱性の悪用が入口?」も、Fortinet で検索と併せて、ご参照ください。