Kantan Reader

　一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は5月9日、Fortinet製FortiOSおよびFortiProxyにおける認証回避の脆弱性（CVE-2024-55591）について発表した。独立行政法人情報処理推進機構は5月12日、本脆弱性を悪用したと思われる攻撃が国内で観測されたとしている。

　影響を受けるシステムは以下の通り。

FortiOS バージョン7.0.0から7.0.16まで FortiProxy バージョン7.2.0から7.2.12まで FortiProxy バージョン7.0.0から7.0.19まで

　Fortinetは現地時間1月15日に、FortiOSおよびFortiProxyにおける認証回避の脆弱性（CVE-2024-55591）に関するアドバイザリを公開している。

　FortiOSおよびFortiProxyには、遠隔の第三者によって細工されたリクエストを送信され、super-adminの権限を取得される可能性がある脆弱性が存在し、Fortinetでは悪用が報告されていることを公開している。また、Fortinetは現地時間2月11日に、本脆弱性のアドバイザリにCSFリクエストによる認証回避の脆弱性（CVE-2025-24472）を追記している。

　Forescoutでは現地時間3月13日に、これら2つの脆弱性を悪用するランサムウェア攻撃が2025年1月から3月にかけて複数確認されたとする分析記事を公表している。

　JPCERT/CCでは、2025年3月以降に国内で発生したインシデントで本脆弱性が悪用された事例を確認している。

　Fortinetでは、本脆弱性を修正した下記バージョンへのアップグレードを推奨している。

FortiOS バージョン7.0.17およびそれ以降 FortiProxy バージョン7.2.13およびそれ以降 FortiProxy バージョン7.0.20およびそれ以降

#	言葉	意味
9	脆弱性	ぜいじゃくせい (脆弱性) : vulnerability; weakness; fragility
6	および	および (及び) : and; as well as
4	悪用	あくよう (悪用) : abuse; misuse; perversion
4	以降	いこう (以降) : on and after; as from; hereafter; thereafter; since
3	認証	にんしょう (認証) : 1. certification; attestation; authentication; confirmation 2. Imperial attestation
3	回避	かいひ (回避) : evasion; avoidance
3	現地時間	げんちじかん (現地時間) : local time
3	それ	それ (其れ) : 1. that; it 2. then; that point (in time); that time
2	おく	おく (奥) : inner part; inside; interior; depths (e.g. of a forest); back (of a house, drawer, etc.); bottom (e.g. of one's heart); recesses; heart
2	攻撃	こうげき (攻撃) : 1. attack; assault; raid; onslaught; offensive 2. criticism; censure; denunciation; condemnation
2	国内	こくない (国内) : internal; domestic
2	公開	こうかい (公開) : opening to the public; making available to the public; putting on display; exhibiting; showing (play, movie, etc.); holding (interview, etc.); open; public
2	確認	かくにん (確認) : confirmation; verification; validation; review; check; affirmation; identification
1	一般社団法人	いっぱんしゃだんほうじん (一般社団法人) : general incorporated association
1	製	せい (製) : -made; make
1	発表	はっぴょう (発表) : announcement; publication; presenting; statement; communique; making known; breaking (news story); expressing (one's opinion); releasing; unveiling
1	独立行政法人	どくりつぎょうせいほうじん (独立行政法人) : independent administrative corporation (institution, agency)
1	情報処理推進機構	じょうほうしょりすいしんきこう (情報処理推進機構) : Information-technology Promotion Agency (organization)
1	思う	おもう (思う) : 1. to think; to consider; to believe; to reckon 2. to think (of doing); to plan (to do)
1	観測	かんそく (観測) : observation; survey; measurement
1	影響	えいきょう (影響) : 1. influence; effect 2. to influence; to affect; to have an influence on; to impact; to have an effect on
1	通り	とおり (通り) : 1. avenue; street; way; road 2. coming and going; street traffic
1	関する	かんする (関する) : to concern; to be related
1	遠隔	えんかく (遠隔) : distant; remote; isolated
1	第	だい (第) : prefix for forming ordinal numbers
1	よる	よる (因る) : 1. to be due to; to be caused by 2. to depend on; to turn on
1	細工	さいく (細工) : 1. work; workmanship; craftsmanship; handiwork 2. artifice; trick; device; tampering; doctoring
1	送信	そうしん (送信) : transmission; sending
1	権限	けんげん (権限) : power; authority; jurisdiction
1	取得	とりえ (取り柄) : worth; merit; value; good point; redeeming feature; saving grace
1	可能性	かのうせい (可能性) : potentiality; likelihood; possibility; availability
1	存在	そんざい (存在) : existence; being
1	報告	ほうこく (報告) : report; information
1	追記	ついき (追記) : 1. PS; postscript 2. appending; addition (esp. of data, information)
1	複数	ふくすう (複数) : plural; multiple; several
1	分析	ぶんせき (分析) : analysis
1	記事	きじ (記事) : article; news story; report; account
1	公表	こうひょう (公表) : official announcement; proclamation
1	発生	はっせい (発生) : 1. outbreak; spring forth; occurrence; incidence 2. generation (e.g. of power or heat); genesis; origin
1	事例	じれい (事例) : example; precedent; case
1	修正	しゅうせい (修正) : amendment; correction; revision; modification; alteration; retouching; update; fix
1	下記	かき (下記) : the following
1	推奨	すいしょう (推奨) : recommendation; endorsement

Published: 2025-05-13 08:00

Fortinet 製 FortiOS および FortiProxy における認証回避の脆弱性、国内で発生したインシデントでの悪用を確認