FortiOS/FortiProxy の新たな脆弱性 CVE-2025-24472 に攻撃:前回の CVE-2024-55591 に類似?

Fortinet warns of new zero-day exploited to hijack firewalls

2025/02/11 BleepingComputer — 2025年2月11日 (火) に Fortinet が発した警告は、FortiOS と FortiProxy に存在する、それぞれの認証バイパスのゼロデイ脆弱性を悪用する攻撃者が、Fortinet ファイアウォールを乗っ取り、企業ネットワークに侵入しているというものだ。

この脆弱性 CVE-2025-24472 を悪用するリモート攻撃者は、悪意を持って細工された CSF プロキシ・リクエストにより、super-admin 権限を取得できるという。この脆弱性が影響を及ぼす範囲は、FortiOS 7.0.0〜7.0.16/FortiProxy 7.0.0〜7.0.19/FortiProxy 7.2.0〜7.2.12 となる。

Fortinet は、2025年1月に発行した認証バイパスの脆弱性 CVE-2024-55591 のセキュリティ・アドバイザリに、新しい CVE-2025-24472 を追加し、脅威アクターが積極的に悪用していると、顧客に対して警告している。なお、同社が説明しているように CVE-2024-55591 は、Node.js Web ソケット・モジュールに悪意のリクエストを行うことで、悪用される脆弱性である。

同社によると、この2つの脆弱性を悪用する攻撃者は、影響を受けるデバイス上で管理者またはローカル・ユーザーをランダムに生成し、それらを新規/既存の SSL VPN ユーザー・グループに追加しているという。また、ファイアウォール・ポリシーなどのコンフィグを変更し、以前に確立された不正なアカウントから SSLVPN インスタンスにアクセスし、内部ネットワークへのトンネルを取得していることも確認されている。

Fortinet は、このキャンペーンに関する追加情報を提供していないが、サイバーセキュリティ企業 Arctic Wolf は、一致する IOC (indicators of compromise) を取り込んだレポートを発表している。それによると、インターネットに公開された管理インターフェースを備える、脆弱な Fortinet FortiGate ファイアウォールは、遅くとも 2024年11月中旬から攻撃を受けているようだ。

Arctic Wolf は、「このキャンペーンの手口として実施されたアクションには、ファイアウォールの管理インターフェースへの不正管理者ログイン/新しいアカウントの作成/不正アカウントを介した SSL VPN 認証/各種のコンフィグ情報の改竄などがある。イニシャル・アクセス・ベクターは明確に確認されていないが、ゼロデイ脆弱性が悪用された可能性がきわめて高い。ユーザー組織にとって必要なことは、可能な限り早急に、パブリック・インターネットからのファイアウォール管理アクセスを無効化することだ」と述べている。

Arctic Wolf Labs は、CVE-2024-55591 の大規模エクスプロイト攻撃のタイムラインも提供している。そこには、4つの固有のフェーズが含まれている。

  • 脆弱性スキャン:2024年11月16日〜2024年11月23 日
  • 偵察アクション:2024年11月22日〜2024年11月27日
  • SSL VPN コンフィグ:2024年12月4日〜2024年12月7日
  • 横方向への移動:2024年12月16日〜2024年12月27日

Arctic Wolf Labs は、「このキャンペーンには、複数の個人またはグループが関与していた可能性があり、侵入ごとに手法やインフラに微妙な違いがある。ただし、jsconsole の使用は全体に共通している」と付け加えている。

2024年12月12日の時点で Arctic Wolf Labs は、この攻撃について Fortinet に通知した。その5日後に、Fortinet の PSIRT から、この活動は既知であり、すでに調査中であるという確認を得たと付け加えている。

脆弱なファイアウォールを保護するための、セキュリティ更新を直ちに展開できない管理者に対して、Fortinet が提供する回避策は、HTTP/HTTPS 管理インターフェイスの無効化、もしくは、ローカル入力ポリシーを介してアクセスできる、IP アドレスの制限である。

BleepingComputer はコメントを求めて、Fortinet の広報担当者に連絡を取ったが、この記事を投稿する時点では返答がなかった。

Fortinet  FortiOS/FortiProxy のゼロデイ脆弱性 CVE-2025-24472 を悪用し、企業ネットワークへ侵入する攻撃が確認されました。ご利用のチームは、十分に、ご注意ください。また、文中にもある通り、この攻撃の IoC や攻撃のタイムラインが Arctic Wolf から提供されています。よろしければ、Fortinet で検索と併せて、ご確認ください。