FortiOS Vulnerability Allows Super-Admin Privilege Escalation – Patch Now!
2025/02/13 HackRead — Fortinet が公表したのは、各種のセキュリティ製品とテクノロジーを接続/統合する、同社の統合プラットフォーム FortiOS Security Fabric に存在する、深刻度の高い脆弱性に対処するセキュリティ・アップデートのリリースである。この脆弱性 CVE-2024-40591 (CVSSv3:8.0) を悪用する、Security Fabric 権限を持つ認証済みの管理者は、その権限を Super-Admin レベルへと昇格させる可能性を手にする。
具体的に言うと、この脆弱性は、不適切な権限管理に、誤った権限割り当てに起因する。この問題が影響を及ぼす範囲は、FortiOS の 7.6.0/7.4.0〜7.4.4/7.2.0〜7.2.9/7.0.0〜7.0.15/ 6.4 である。
上流の FortiGate デバイスの制御権を攻撃者が取得した場合に、この脆弱性が悪用される可能性があるという。この侵害された上流デバイスに、標的とする FortiGate を接続する攻撃者は、不適切な権限割り当てを悪用し、Super-Admin を取得できるという。この Super-Admin レベルのアクセスは、影響を受けるシステムへの広範な制御を許可するものであり、深刻なセキュリティ侵害につながる恐れがある。
すでに Fortinet は、パッチ・バージョン 7.6.1/7.4.5/7.2.10/7.0.16 をリリースし、この明代に対処している。ユーザーに対して強く推奨されるのは、速やかに FortiOS をアップデートして、このリスクを軽減することだ。
バージョン 6.4 を実行しているユーザーに対しても、パッチを適用したリリースへの移行が推奨される。Fortinet のアップグレード・ツールはオンラインで提供されており、適切な更新パスを選択が支援される。
FortiOS Security Fabric は、各種の Fortinet モジュールにまたがる、エンタープライズ・セキュリティ管理を簡素化する上で、重要な役割を果たしている。そのため、このようなコア・コンポーネント内の脆弱性により、広範囲に影響がおよぶ可能性がある。
いまの状況で生じているのは、企業を保護するために設計されたセキュリティ・システムで、脅威アクターが Super-Admin 権限を取得する可能性である。このレベルのアクセスにより、セキュリティ・インフラを完全に制御する攻撃者は、ネットワーク侵害/データ流出などの、広範囲におよぶ悪意のアクティビティを達成すると考えられる。
Fortinet による迅速なパッチのリリースは、この問題の深刻さを示している。したがって、FortiOS ベースのシステムを更新し、保護された状態を維持することが重要となる。
この脆弱性は Fortinet の R&D チームの Justin Lum により発見され、報告されたものだ。彼の発見が浮き彫りにするのは、ソフトウェア開発組織内での、内部セキュリティ・テストと脆弱性調査の重要性である。
Saviynt の Chief Trust Officer である Jim Routh は、「脅威アクターによる悪用の前に、潜在的なセキュリティ上の欠陥を特定して対処する、このような内部の取り組みには価値がある」と、HackRead にコメントしている。
彼は、「FortiOS セキュリティ・ファブリックの脆弱性にパッチが適用されたが、内部/外部のリソースにより実行されるアプリケーションへの侵入テストが、ソフトウェア・プロバイダーにとって大きな価値があることを示す、優れた事例である。今回のケースでは、Fortinet の従業員である Justin Lum が脆弱性を発見し、影響を受けるソフトウェア・バージョンに対して必要な、パッチ作成のプロセスを開始している」と述べている。
- FortiOS 7.6.0
- FortiOS 7.4.0~7.4.4
- FortiOS 7.2.0~7.2.9
- FortiOS 7.0.0~7.0.15
- FortiOS 6.4 (全バージョンが対象であり、新バージョンへの移行が必要)
この脆弱性が、脅威アクターに悪用されると、Super-Admin 特権への不正アクセスが生じ、企業を保護するために設計された一連のサイバー・セキュリティ機能が、深刻な危機に陥る。一般論として、脅威アクターたちは、特に企業を保護するために設計されたソフトウェアを侵害するために、Super-Admin 特権の不正取得に対して労力を費やしている。
FortiOS Security Fabric に影響をおよぼす、FortiOS の脆弱性が FIX しました。ご利用のチームは、迅速なアップデートを、ご検討ください。なお、関連する直近のトピックは、2025/02/11 の「FortiOS/FortiProxy の新たな脆弱性 CVE-2025-24472 に攻撃:前回の CVE-2024-55591 に類似?」となります。よろしければ、Fortinet で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.