JPCERT-AT-2025-0003
JPCERT/CC
2025-01-15
Fortinet
Authentication bypass in Node.js websocket module
https://www.fortiguard.com/psirt/FG-IR-24-535
また、本脆弱性との直接の関係に言及はありませんが、米セキュリティ組織Arctic Wolf Networksが1月10日(現地時間)に公表したFortinet製品の侵害事案の調査記事では、2024年11月16日から12月末までの間に、特定の分野や組織を限定せずに攻撃が行われたと述べています。
Arctic Wolf Networks
Console Chaos: A Campaign Targeting Publicly Exposed Management Interfaces on Fortinet FortiGate Firewalls
https://arcticwolf.com/resources/blog/console-chaos-targets-fortinet-fortigate-firewalls/
本脆弱性の影響を受ける製品を利用している場合、後述「III. 対策」以降に記載の情報とFortinetが提供する最新の情報を確認の上、対策の実施および侵害有無の調査などを推奨します。また、今後も情報が更新される可能性があるため、Fortinetなどが公開する情報を注視いただくことを推奨します。
- FortiOS バージョン7.0.0から7.0.16まで
- FortiProxy バージョン7.2.0から7.2.12まで
- FortiProxy バージョン7.0.0から7.0.19まで
- FortiOS バージョン7.0.17およびそれ以降
- FortiProxy バージョン7.2.13およびそれ以降
- FortiProxy バージョン7.0.20およびそれ以降
- インターネットに接続されているWeb管理インタフェースを無効化する
- Local-in Policyを使用して、Web管理インタフェースにアクセス可能なIPアドレスを制限する
Arctic Wolf Networksが提供する情報にも、攻撃元IPアドレスなどの情報が記載されていますので、あわせてご確認ください。
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
JPCERT/CC
2025-01-15
I. 概要
2025年1月15日(現地時間)、FortinetはFortiOSおよびFortiProxyにおける認証回避の脆弱性(CVE-2024-55591)に関するアドバイザリを公開しました。本脆弱性により、遠隔の第三者によって細工されたリクエストを送信され、super-adminの権限を取得される可能性があります。Fortinetは、本脆弱性の悪用が報告されていることを公開しています。Fortinet
Authentication bypass in Node.js websocket module
https://www.fortiguard.com/psirt/FG-IR-24-535
また、本脆弱性との直接の関係に言及はありませんが、米セキュリティ組織Arctic Wolf Networksが1月10日(現地時間)に公表したFortinet製品の侵害事案の調査記事では、2024年11月16日から12月末までの間に、特定の分野や組織を限定せずに攻撃が行われたと述べています。
Arctic Wolf Networks
Console Chaos: A Campaign Targeting Publicly Exposed Management Interfaces on Fortinet FortiGate Firewalls
https://arcticwolf.com/resources/blog/console-chaos-targets-fortinet-fortigate-firewalls/
本脆弱性の影響を受ける製品を利用している場合、後述「III. 対策」以降に記載の情報とFortinetが提供する最新の情報を確認の上、対策の実施および侵害有無の調査などを推奨します。また、今後も情報が更新される可能性があるため、Fortinetなどが公開する情報を注視いただくことを推奨します。
II. 対象
本脆弱性の対象となる製品およびバージョンは次のとおりです。詳細は、Fortinetが提供する最新の情報をご確認ください。- FortiOS バージョン7.0.0から7.0.16まで
- FortiProxy バージョン7.2.0から7.2.12まで
- FortiProxy バージョン7.0.0から7.0.19まで
III. 対策
Fortinetは本脆弱性を修正したバージョンへのアップグレードを推奨しています。十分なテストを実施の上、修正済みバージョンの適用をご検討ください。- FortiOS バージョン7.0.17およびそれ以降
- FortiProxy バージョン7.2.13およびそれ以降
- FortiProxy バージョン7.0.20およびそれ以降
IV. 回避策
Fortinetは本脆弱性に対して、次の回避策を提供しています。修正済みバージョンの適用ができない場合は、Fortinetが提供する情報を確認の上、回避策の適用をご検討ください。- インターネットに接続されているWeb管理インタフェースを無効化する
- Local-in Policyを使用して、Web管理インタフェースにアクセス可能なIPアドレスを制限する
V. 侵害検出方法
Fortinetが提供する最新の情報などを参考に、脆弱性を悪用する攻撃の被害を受けていないかご確認いただくことを推奨します。Fortinetのアドバイザリには、侵害調査方法として脆弱性が悪用された可能性を示すログや攻撃元IPアドレス、攻撃者によって作成された管理者およびローカルユーザー名などの情報が公開されています。Arctic Wolf Networksが提供する情報にも、攻撃元IPアドレスなどの情報が記載されていますので、あわせてご確認ください。
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
