PoC Releases for Fortinet Zero-Day Vulnerability CVE-2024-5559, 45,000 Remain Vulnerable
2025/01/28 SecurityOnline — Fortinet FortiOS/FortiProxy 製品に存在する、深刻なゼロデイ脆弱性 CVE-2024-55591 (CVSS:9.8) の PoC エクスプロイト・コードと技術的詳細が、サイバー・セキュリティ企業の watchTowr Labs から公開された。この脆弱性は、すでに企業の実環境での悪用が確認されており、ネットワークの侵害やファイアウォールの乗っ取りなどの原因となっている。
脆弱性 CVE-2024-55591 は jsconsole 機能に存在し、 FortiOS 7.0.0〜7.0.16 および FortiProxy 7.0.0〜7.0.19/7.2.0〜7.2.12 に影響を与える。この脆弱性の悪用に成功した攻撃者は、不正な管理者アカウントを作成し、ファイアウォール・ポリシーの変更し、内部ネットワークへの VPN 接続を確立できるという。
Fortinet が観測した悪用のケースでは、新しい管理者ユーザーを作成して SSL VPN グループに追加し、ファイアウォール・ルールを変更する、攻撃者の様子が確認された。それにより攻撃者は、ネットワーク内に足場を確立し、機密のデータやシステムにアクセスするための横移動が可能になる。
この脆弱性は、以下の問題に起因すると、watchTowr Labs の研究者である Aliz Hammond は述べている:
- HTTP 経由で開始できる、事前認証済みの WebSocket 接続。
- セッション・チェックを回避するための local_access_token パラメータの使用。
- WebSocket メッセージ処理プロセスにおける競合状態。
- ユーザー認証用のユニークなトークン/パスワードの欠如。
これらの問題を組み合わせる攻撃者は、Telnet 経由で CLI プロセスの認証を達成し、特権の昇格を可能にする。
米国の CISA は、脆弱性 CVE-2024-55591 を KEV (Known Exploited Vulnerabilities) カタログに追加した。連邦機関に対しては、2025年1月21日までにシステムにパッチを適用するよう命じている。
また、2025年1月27日時点で、45,000件近くの脆弱なホストが存在していることが Shadowserver の調査により判明しており、この脆弱性 CVE-2024-55591 がもたらす広範なリスクを浮き彫りにしている。PoC エクスプロイト・コードが公開されたことで、この脆弱性への攻撃が増加すると予想される。ユーザー組織に求められるのは、この重大な脅威からネットワークを保護するために迅速に行動することである。
Fortinet の脆弱性 CVE-2024-55591 ですが、GitHub で PoC が公開され、攻撃の可能性が高まっています。ご利用のチームは、ご注意ください。なお、この脆弱性に関する第一報は、2025/01/14 の「FortiOS/FortiProxy の脆弱性 CVE-2024-55591 の悪用を確認:直ちにアップデートを!」です。よろしければ、Fortinet で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.