Fortinet製FortiOSおよびFortiProxyにおける認証回避の脆弱性（CVE-2024-55591）に関する注意喚起

概要

• 発行日:2025-1-15
• 更新日:2025-5-9
• 該当CVE ID:CVE-2024-6387
• CvSSv3スコア:9.6 (Critical)

脆弱性の概要

• CVE-2024-55591
• CVE-2025-24472

FortiOS および FortiProxy に影響する代替パスまたはチャネルを使用した認証バイパスの脆弱性 [CWE-288] により、リモートの攻撃者が Node.js Websocket モジュールへの細工されたリクエストまたは細工された CSF プロキシ リクエストを介してスーパー管理者権限を取得できる可能性があります。報告によれば、これは実際に悪用されているとのことですので、ご注意ください。

JPCERT/CCからの発表にて、2025年3月以降に国内で発生したインシデントにおいて、本脆弱性が悪用された事例があることを確認。2月11日（現地時間）、Fortinetは、本脆弱性のアドバイザリにCSFリクエストによる認証回避の脆弱性（CVE-2025-24472）を追記。また、3月13日（現地時間）には、Forescoutからこれら2つの脆弱性を悪用するランサムウェア攻撃が2025年1月から3月にかけて複数確認されたとする分析記事が公表。本脆弱性が今後もさまざまな攻撃に悪用される可能性があるため、速やかな侵害調査および対策の実施を推奨。

影響を受ける製品

• FortiOS 7.0
  7.0.0 ～ 7.0.16
  7.0.17 以上へアップデートしてください
• FortiProxy 7.2
  7.2.0 ～ 7.2.12
  7.2.13 以上へアップデートしてください
• FortiProxy 7.0
  7.0.0 ～ 7.0.19
  7.0.20 以上へアップデートしてください

対処法

• 上記各製品の該当するVersion以上の物にアップグレード。

ワークアラウンド(回避策)

• インターネットに接続されているWeb管理インタフェースを無効化する

レスポンスマトリックス

Fortinetは、各アドバイザリについて、影響を受ける製品バージョン、オペレーティングシステム、
CVE識別子、CVSSv3スコア、重要度、修正バージョンなどの詳細情報を提供しています。
詳細については、関連リンクを参照ください。

関連リンク:https://fortiguard.fortinet.com/psirt/FG-IR-24-258

初回執筆:2025年5月10日