FortiDDoS OS Command Injection Vulnerability Let Attackers Execute Unauthorized Commands
2025/09/09 CyberSecurityNews — Fortinet が公開したのは、FortiDDoS-F 製品ラインにおける脆弱性のアドバイザリであり、高権限を持つ攻撃者に対して不正コマンドの実行を許す欠陥を説明するものだ。この脆弱性 CVE-2024-45325 (CVSSv3:6.5:Medium) は、Command-Line Interface (CLI) に存在する OS コマンド・インジェクション (CWE-78) として分類される。
この脆弱性は、OS コマンドで使用される特殊要素の不適切な無効化に起因し、ローカルの高権限を持つ攻撃者が細工したリクエストを CLI に送信することで悪用に至るものだ。悪用が成功すると、アプリケーション権限で任意のコードやコマンドが実行され、システム全体が侵害される恐れがある。
CVSS ベクター (AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H) が示すのは、攻撃の前提としてローカル・アクセスと高権限を必要とし、ユーザー操作が不要なことだ。また、機密性/整合性/可用性への潜在的な影響は High と評価されている。
この問題を発見したのは、Fortinet PSIRT の Theo Leleu である。
影響を受けるバージョンと緩和策
この脆弱性が影響を及ぼす範囲は、FortiDDoS-F の複数バージョンであり、2025年9月9日公開のアドバイザリ FG-IR-24-344 で、すでに対応策が提示されている。管理者に対して強く推奨されるのは、アップデートの適用もしくは、パッチ適用済みリリースへの移行である。
| Version | Affected Range | Solution |
|---|---|---|
| FortiDDoS-F 7.2 | Not affected | Not Applicable |
| FortiDDoS-F 7.0 | 7.0.0 through 7.0.2 | Upgrade to 7.0.3 or above |
| FortiDDoS-F 6.6 | All versions | Migrate to a fixed release |
| FortiDDoS-F 6.5 | All versions | Migrate to a fixed release |
| FortiDDoS-F 6.4 | All versions | Migrate to a fixed release |
| FortiDDoS-F 6.3 | All versions | Migrate to a fixed release |
| FortiDDoS-F 6.2 | All versions | Migrate to a fixed release |
| FortiDDoS-F 6.1 | All versions | Migrate to a fixed release |
FortiDDoS-F 7.0 を利用する、ユーザー組織にとって必要なことは、バージョン 7.0.3 への速やかなアップグレードである。また、旧ブランチ (6.1~6.6) を利用している場合には、安全なバージョンへの移行計画が必要である。
FortiDDoS-F の CLI に、OS コマンド・インジェクションの脆弱性が発見されました。原因は、コマンドに含まれる特殊要素を正しく無効化できていなかった点にあります。この不備により、高権限を持つ攻撃者が細工したリクエストを送ると、任意のコードやコマンドを実行できてしまいます。結果としてシステム全体に影響が及ぶ可能性があると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Fortinet で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.