Fortinet

更新 2/11/25 07:32 PM ET:この記事の公開後、フォーティネットから、本日FG-IR-24-535に追加された新しい欠陥CVE-2025-24472はゼロデイではなく、1月にすでに修正されているとの連絡がありました。

さらに、本日更新されたアドバイザリでは、両方の欠陥が攻撃に悪用されたことが示されており、新しいCSFプロキシリクエストの悪用経路に対する回避策まで含まれているにもかかわらず、フォーティネットは、悪用されたのはCVE-2024-55591のみであると述べています。

フォーティネットは、FG-IR-24-535 / CVE-2024-55591のガイダンスに基づいて以前にアップグレードした顧客は、新たに公開された脆弱性からすでに保護されていると述べている。

この新しい情報を反映するため、記事のタイトルを更新しました。

フォーティネットは本日、攻撃者がFortiOSおよびFortiProxyに現在パッチが適用されている別のゼロデイバグを悪用して、フォーティネットのファイアウォールを乗っ取り、企業ネットワークに侵入していることを警告しました。

この認証バイパスの脆弱性(CVE-2025-24472)の悪用に成功すると、リモートの攻撃者は、悪意を持って細工されたCSFプロキシリクエストを行うことで、スーパー管理者権限を得ることができます。

このセキュリティ上の欠陥は、FortiOS 7.0.0~7.0.16、FortiProxy 7.0.0~7.0.19、およびFortiProxy 7.2.0~7.2.12に影響します。FortiOS 7.0.17以降およびFortiProxy 7.0.20/7.2.13以降で修正されました。

フォーティネットは、先月発行したセキュリティアドバイザリで脅威行為者がFortiOSとFortiProxyのゼロデイ脆弱性(CVE-2024-55591として追跡されている)を悪用しており、同じソフトウェアバージョンに影響を及ぼしているとして顧客に注意を促していましたが、このバグを新たなCVE-IDとして追加しました。しかし、現在では修正されたCVE-2024-55591の欠陥は、Node.jsウェブソケットモジュールに悪意のあるリクエストを送信することで悪用される可能性がありました。

フォーティネットによると、攻撃者はこの2つの脆弱性を悪用して、影響を受けるデバイス上にランダムな管理者ユーザーまたはローカルユーザーを生成し、新規および既存のSSL VPNユーザーグループに追加します。また、ファイアウォールポリシーやその他の設定を変更し、以前に確立した不正なアカウントでSSLVPNインスタンスにアクセスし、”内部ネットワークへのトンネルを獲得する “ことも確認されている。

フォーティネットはこのキャンペーンに関する追加情報を提供していないが、サイバーセキュリティ企業のArctic Wolfは、インターネットに公開された管理インターフェイスを持つ脆弱なフォーティネットFortiGateファイアウォールが少なくとも11月中旬から攻撃を受けているとし、一致する侵害指標(IOC)を含むレポートを発表した

「このキャンペーンには、ファイアウォールの管理インターフェイスへの不正な管理者ログイン、新しいアカウントの作成、それらのアカウントを介したSSL VPN認証、およびその他のさまざまな設定変更が含まれていた」とArctic Wolf Labsは述べている。

「最初のアクセス経路は確定的ではないが、ゼロデイ脆弱性の可能性が高い。組織は早急に、パブリック・インターフェース上のファイアウォール管理アクセスを無効化する必要がある。

また、Arctic Wolf Labs は、CVE-2024-55591 の大量エクスプロイト攻撃について、4 つのユニークなフェーズが含まれるとして、このタイムラインを提供しています:

  1. 脆弱性スキャン(2024年11月16日から2024年11月23日)
  2. 偵察(2024年11月22日から2024年11月27日)
  3. SSL VPNの設定(2024年12月4日から2024年12月7日)
  4. 横移動(2024年12月16日から2024年12月27日)

「侵入の手口やインフラに微妙な違いがあることから、複数の個人やグループがこのキャンペーンに関与している可能性がありますが、jsconsoleの使用は全体的に共通していました。

Arctic Wolf Labsは、12月12日にフォーティネットにこの攻撃について通知し、その5日後に同社のProduct Security Incident Response Team(PSIRT)から、この活動が既知であり、すでに調査中であるとの確認を得たと付け加えた。

フォーティネットは、脆弱なファイアウォールを保護するためのセキュリティアップデートをすぐに導入できない管理者に対して、回避策としてHTTP/HTTPS管理インターフェイスを無効にするか、ローカルインのポリシーでアクセスできるIPアドレスを制限するよう助言している。

フォーティネットの広報担当者にコメントを求めたが、掲載までに返答は得られなかった。