Fortinet Warns of Multiple Vulnerabilities in FortiAnalyzer, FortiManager, & Other Products
2025/04/08 gbhackers — Fortinet が公表したのは、FortiAnalyzer/FortiManager/FortiOS/FortiProxy/FortiVoice/FortiWeb/FortiSwitch などの製品群で発見された、複数の脆弱性の詳細と修正に関するリリースである。これらの脆弱性は、ログ出力の不適切なフィルタリングから、未確認のパスワード変更や、認証情報に対する不十分なセキュリティ保護にいたる多様なものである。すでに Fortinet は、アップデートと対策をリリースし、一連の脆弱性に対処している。
CVE-2024-32122:
FortiOS の不十分な認証情報のセキュリティ保護の脆弱性
FortiOS で発見された脆弱性 CVE-2024-32122 は、認証情報に対する不十分なセキュリティ保護 (CWE-522) に関連するものだ。この脆弱性を悪用する、権限を持つ認証済みの攻撃者は、LDAP サーバの IP アドレスにおいて、不正なサーバを指すように設定することで、LDAP 認証情報を取得する可能性を手にする。
影響を受けるバージョン:
FortiOS のバージョン 7.4/7.2/7.0/6.4
FortiOS 7.6 は影響を受けない。
Fortinet が推奨するのは、アップグレード・ツールを用いた、安定版リリースへの移行である。Fortinet は、この脆弱性を適切に開示した Vladislav Driev と Oleg Labyntsevに謝意を示している。
CVE-2024-52962:
不適切な出力の無効化
FortiManager/FortiAnalyzer の脆弱性 CVE-2024-52962 (CWE-117) を悪用する、未認証のリモート攻撃者は、細工したログイン・リクエストを通じてログを破壊する可能性を手にする。
影響を受けるバージョン:
FortiManager/FortiAnalyzer のバージョン 7.6.0~7.6.1
7.4.x/7.2.x などの以前のバージョンも影響を受ける。
ユーザーに推奨されるのは、FortiManager/FortiAnalyzer のバージョン 7.6.2 以降へのアップデートである。Fortinet は、この問題を報告してくれた A1 Digital International の Alexandre Labb に謝意を示している。
CVE-2024-26013/CVE-2024-50565:
中間者攻撃の脆弱性:
FortiOS/FortiProxy/FortiManager など複数の製品に、中間者攻撃の脆弱性 CVE-2024-26013/CVE-2024-50565 (CWE-923) が発見された。この脆弱性を悪用する攻撃者は、管理対象デバイスと FortiCloud/ FortiManager などの管理システム間で交換される、認証リクエストを傍受を達成し、管理デバイスの ID 取得の可能性を得る。
影響を受けるバージョン:
FortiOS のバージョン 6.x~7.x/FortiProxy のバージョン 2.x~7.x
FortiVoice/ FortiWeb などの他製品の複数のリリースにまたがっている。
このアドバイザリが推奨するのは、修正バージョンへのアップグレードである。この脆弱性の発見者は、Fortinet PCERT の Theo Leleu と、開発チームの Stephen Bevan である。
CVE-2024-48887:
パスワード変更に対する未検証の脆弱性
FortiSwitch 製品の GUI に存在する、未検証を原因とするパスワード変更の脆弱性 CVE-2024-48887 (CWE-620) が公開された。この脆弱性を悪用する未認証のリモート攻撃者は、細工されたリクエストを通じて、管理者パスワードを変更する可能性を手にする。
影響を受けるバージョン:
FortiSwitch のバージョン 6.4.x~7.x
ユーザーに推奨されるのは、修正バージョンへのアップグレードである。また、回避策として、管理インターフェイスからの HTTP/HTTPS アクセスの無効化も推奨される。この脆弱性の発見者は、FortiSwitch Web UI 開発チームの Daniel Rozeboom である。
ーーーーー
Fortinet がユーザーに強く推奨するのは、アップグレード・ツールを用いた、速やかなシステムのアップグレードである。また、パッチ適用が困難な場合は、提供されている回避策の適用が推奨される。
すべてのアドバイザリは、2025年4月8日に公開され、製品エコシステム全体における、透明性の維持と顧客のセキュリティ確保を目的としている。
これらの脆弱性に関連する、リスクの軽減やアップグレードに関する詳細なガイダンスについては、Fortinet の公式ドキュメントを参照してほしい。
Fortinet 製品群の複数の脆弱性に対する修正が公開されました。Fortinet に関連する脆弱性は、今年に入ってからもいくつかの攻撃で実際に悪用された事例が確認されています。ご利用のチームは、十分にご注意ください。よろしければ、以下の関連記事も、Fortinet で検索と併せてご利用下さい。
2025/03/18:Fortinet の CVE-2025-24472 などが CISA KEV に登録
2025/03/14:Fortinet Firewall の脆弱性を悪用する SuperBlack の手口
2025/02/16:Fortinet などの脆弱性を狙うロシアの BadPilot
2025/01/14:Fortinet FortiOS の CVE-2024-55591 が CISA KEV に登録
2025/01/14:Fortinet Firewall 標的キャンペーン:侵害フェーズが解明
2025/01/14:Fortinet Firewall を侵害したキャンペーンの詳細
IoT OT Security News 
You must be logged in to post a comment.