Published: 2025-01-17 08:00
Fortinet 製 FortiOS およびFortiProxy に認証回避の脆弱性、悪用した攻撃も確認
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は1月15日、Fortinet製FortiOSおよびFortiProxyにおける認証回避の脆弱性について発表した。影響を受けるシステムは以下の通り。
FortiOS 7.0.0 から 7.0.16
FortiProxy 7.2.0 から 7.2.12
FortiProxy 7.0.0 から 7.0.19
Fortinetでは現地時間1月15日に、FortiOSおよびFortiProxyにおける認証回避の脆弱性(CVE-2024-55591)に関するアドバイザリを公開している。想定される影響としては、遠隔の第三者によって細工されたリクエストを送信され、super-adminの権限を取得される可能性がある。Fortinetでは、本脆弱性を悪用する攻撃が報告されていることを公開している。
Fortinetでは、本脆弱性を修正した下記バージョンへのアップグレードを推奨している。
FortiOS バージョン7.0.17およびそれ以降
FortiProxy バージョン7.2.13およびそれ以降
FortiProxy バージョン7.0.20およびそれ以降
また、本脆弱性の暫定的な回避策として、「HTTP/HTTPS 管理インターフェースを無効化する」、「管理インターフェースにアクセス出来るIPアドレスを制限する」ことで本脆弱性の影響を軽減できる。
| # | 言葉 | 意味 |
|---|---|---|
| 6 | および | および (及び) : and; as well as |
| 6 | 脆弱性 | ぜいじゃくせい (脆弱性) : vulnerability; weakness; fragility |
| 3 | 回避 | かいひ (回避) : evasion; avoidance |
| 3 | 影響 | えいきょう (影響) : 1. influence; effect 2. to influence; to affect; to have an influence on; to impact; to have an effect on |
| 3 | それ | それ (其れ) : 1. that; it 2. then; that point (in time); that time |
| 3 | 以降 | いこう (以降) : on and after; as from; hereafter; thereafter; since |
| 2 | おく | おく (奥) : inner part; inside; interior; depths (e.g. of a forest); back (of a house, drawer, etc.); bottom (e.g. of one's heart); recesses; heart |
| 2 | 認証 | にんしょう (認証) : 1. certification; attestation; authentication; confirmation 2. Imperial attestation |
| 2 | 公開 | こうかい (公開) : opening to the public; making available to the public; putting on display; exhibiting; showing (play, movie, etc.); holding (interview, etc.); open; public |
| 2 | 管理 | かんり (管理) : control; management (e.g. of a business) |
| 1 | 独立行政法人 | どくりつぎょうせいほうじん (独立行政法人) : independent administrative corporation (institution, agency) |
| 1 | 情報処理推進機構 | じょうほうしょりすいしんきこう (情報処理推進機構) : Information-technology Promotion Agency (organization) |
| 1 | 一般社団法人 | いっぱんしゃだんほうじん (一般社団法人) : general incorporated association |
| 1 | 製 | せい (製) : -made; make |
| 1 | 発表 | はっぴょう (発表) : announcement; publication; presenting; statement; communique; making known; breaking (news story); expressing (one's opinion); releasing; unveiling |
| 1 | 通り | とおり (通り) : 1. avenue; street; way; road 2. coming and going; street traffic |
| 1 | 現地時間 | げんちじかん (現地時間) : local time |
| 1 | 関する | かんする (関する) : to concern; to be related |
| 1 | 想定 | そうてい (想定) : hypothesis; supposition; assumption |
| 1 | 遠隔 | えんかく (遠隔) : distant; remote; isolated |
| 1 | 第 | だい (第) : prefix for forming ordinal numbers |
| 1 | よる | よる (因る) : 1. to be due to; to be caused by 2. to depend on; to turn on |
| 1 | 細工 | さいく (細工) : 1. work; workmanship; craftsmanship; handiwork 2. artifice; trick; device; tampering; doctoring |
| 1 | 送信 | そうしん (送信) : transmission; sending |
| 1 | 権限 | けんげん (権限) : power; authority; jurisdiction |
| 1 | 取得 | とりえ (取り柄) : worth; merit; value; good point; redeeming feature; saving grace |
| 1 | 可能性 | かのうせい (可能性) : potentiality; likelihood; possibility; availability |
| 1 | 悪用 | あくよう (悪用) : abuse; misuse; perversion |
| 1 | 攻撃 | こうげき (攻撃) : 1. attack; assault; raid; onslaught; offensive 2. criticism; censure; denunciation; condemnation |
| 1 | 報告 | ほうこく (報告) : report; information |
| 1 | 修正 | しゅうせい (修正) : amendment; correction; revision; modification; alteration; retouching; update; fix |
| 1 | 下記 | かき (下記) : the following |
| 1 | 推奨 | すいしょう (推奨) : recommendation; endorsement |
| 1 | 暫定的 | ざんていてき (暫定的) : temporary; provisional; interim |
| 1 | 策 | さく (策) : 1. plan; policy; means; measure; stratagem; scheme 2. fifth principle of the Eight Principles of Yong; right upward flick |
| 1 | 無効化 | むこうか (無効化) : 1. disabling; invalidation; nullification; override; voiding; circumvention 2. vitiation |
| 1 | 制限 | せいげん (制限) : restriction; restraint; limitation; limit |
| 1 | 軽減 | けいげん (軽減) : abatement; reduction |