CISA KEV 警告 25/03/18:Fortinet の CVE-2025-24472 と GitHub の CVE-2025-30066 を登録

Cybersecurity Alert: CISA Adds Fortinet and GitHub Action Vulnerabilities to Exploited List

2025/03/18 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、2つの深刻なセキュリティ脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加し、実際に悪用されていることを示した。これらの脆弱性は、広く使用されている Fortinet の FortiOS/FortiProxy および、GitHub Action “tj-actions/changed-files” に影響を及ぼすものだ。

攻撃の最中にある Fortinet の脆弱性

先日に CISA は、Fortinet の FortiOS (7.0.0〜7.0.16) と FortiProxy (7.0.0〜7.0.19/7.2.0〜7.2.12) に影響を及ぼす、認証バイパスの脆弱性 CVE-2025-24472 (CVSS:8.1) にフラグを付けた。この欠陥を悪用する攻撃者は、特別に細工された CSF プロキシ・リクエストを通じて、リモートのスーパー管理者権限を取得する。この脆弱性が公表された当初は、悪用の兆候は観測されていなかった。しかし、Forescout の研究者が明らかにしたのは、2025年2月初旬から Mora_001 と呼ばれる脅威アクターに関連するアクティブな悪用が観測され、カスタム・メイドの SuperBlack ランサムウェアが展開されているという状況である。

Mora_001’s attack chain
Source: Forescout

2024年11月の時点から、別の Fortinet の脆弱性 CVE-2024-55591 が、すでに悪用されていたが、そこに今回の脆弱性が加わったことになる。Arctic Wolf が確認したのは、この2つの脆弱性が、FortiGate ファイアウォールに対する標的型攻撃で悪用されている状況である。その後に、Fortinet はパッチ・バージョンである、FortiOS 7.0.17 および FortiProxy 7.0.20/7.2.13 を発行している。同社が管理者たちに強く推奨するのは、最新バージョンへと速やかにアップデートし、さらなるエクスプロイトを防ぐことである。

GitHub Action へのサプライ・チェーン攻撃

GitHub Action “tj-actions/changed-files” に存在する脆弱性 CVE-2025-30066 (CVSS:8.6) を標的とする、広範に及ぶサプライ・チェーン攻撃が発生している。攻撃者たちは、バージョン・タグに悪意のコードを挿入し、23,000 を超えるリポジトリのワークフロー・ログから CI/CD シークレットが漏洩させる機会を手にしている。2025年3月1 日に StepSecurity が、疑わしいアクティビティを検出した後に、このインシデントが報告された。

tj-actions supply chain attack
Source: Wiz

この侵害では、リポジトリ・タグを変更する攻撃者が、一般公開されるログへと CI/CD シークレットをダイレクトに抽出させる、悪意のあるコミットを指し示している。GitHub が迅速に介入し、侵害されたアクションの削除と、リポジトリからの悪意のコードの削除が行われたが、依然として大きな影響が残されている。

影響を受けるユーザーに対して GitHub が強く推奨するのは、侵害されたシークレットのローテーション/ワークフローにおける想定外の出力のチェックに加えて、セキュリティを強化するために明示的に固定されたコミット・ハッシュへの切り替えである。

緊急の推奨事項

CISA は、積極的な悪用に対処するために、連邦文民行政部門 (FCEB) 機関に対して、2025年4月8日までに必要なパッチを適用するよう指示している。

影響を受ける Fortinet 製品と GitHub Action “tj-actions/changed-files” を使用している、すべての組織にとって必要なことは、速やかに行動を起こし、これらの脆弱性を軽減し、システムを保護することだ。

Fortinet と GitHub の脆弱性が、CISA KEV に登録されました。それぞれ、ファイアウォールに対する攻撃と、サプライ・チェーンへの攻撃に悪用されているとのことです。ご利用のチームは、十分にご注意下さい。詳細については、以下の関連記事を、CISA KEV ページと併せてご参照ください。

2025/03/14:Fortinet CVE-2024-55591/CVE-2025-24472 を悪用
2025/03/15:GitHub Action の脆弱性 CVE-2025-30066
2025/02/11:FortiOS/FortiProxy の脆弱性 CVE-2025-24472 に攻撃
2025/01/15:FortiOS の脆弱性 CVE-2024-55591 が CISA KEV に登録