出典:Shutterstock提供 T. Schneider
米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、複数のFortinetのネットワークセキュリティおよび管理プラットフォームに影響する、最近公表されたセキュリティ上の欠陥を、既知の悪用済み脆弱性(KEV)カタログに追加した。根拠として、実際に悪用されている証拠があることを挙げている。
CVE-2025-59718(CVSSスコア:9.1)として追跡されているこの脆弱性は、2件ある重大な認証バイパス欠陥のうちの1つで、もう1つはCVE-2025-59719(CVSSスコア:9.1)である。これらはFortinetが12月9日に公表したもので、対象はFortiOS、FortiWeb、FortiProxy、FortiSwitchManager製品である。
認証バイパス
両方の脆弱性は、FortiCloud SSO機能が有効になっている場合に、細工されたSAMLメッセージを用いてSSOログイン認証を回避できるようにし、未認証の攻撃者による悪用を可能にする。これらの脆弱性は暗号署名の検証不備に起因しており、脅威アクターが正当な制御なしに影響を受けるデバイスの管理者権限を掌握する手段を与える。
この種の脆弱性は、悪用に成功すると組織のネットワーク境界全体とトラフィックフローを脅威アクターが制御できるようになるため、攻撃者に頻繁に狙われる。CISAは、CVE-2025-59718をKEVに追加したことに関する通知の中で、これらが「連邦政府機関にとって重大なリスク」をもたらすと述べた。連邦政府の文民行政部門(FCEB)の各機関は、12月23日までに当該欠陥を修正するか、ベンダーのガイダンスに従って問題を是正するまで影響を受けるFortinet製品の使用を中止しなければならない。
Arctic Wolfによると、両脆弱性を狙った攻撃活動は、Fortinetが公表してからわずか3日後の12月12日という早い時期に始まっていた可能性がある。同社の研究者は、ドイツ、米国、アジアにジオロケーションされたIPアドレスを持つ少数のホスティングプロバイダーから発信された、FortiGateデバイスへの悪意あるSSOログインを伴う侵入を観測した。
悪意あるログインは主に管理者アカウントを標的としていた。Arctic Wolfによれば、認証バイパスに成功した後、攻撃者はハッシュ化された認証情報やその他の機微情報を含むデバイス設定を、初期侵入に使用したのと同じIPアドレスへエクスポートした。
Fortinetはアドバイザリの中で、FortiCloud SSOは工場出荷時設定ではデフォルトで無効になっていると説明した。しかし、この機能は管理者がFortiCareを使用してグラフィカルユーザーインターフェースからデバイスを登録すると自動的に有効化される。「登録ページで『FortiCloud SSOを使用した管理者ログインを許可』のトグルスイッチを管理者が無効にしない限り、登録時にFortiCloud SSOログインが有効になる」とFortinetは述べた。
この設計上の選択により、利用組織が認識していた以上に多くのデバイスが脆弱な状態になっていた可能性がある。Arctic Wolfの研究者は分析の中で、「脅威アクターは一般に、ファイアウォールやVPNの管理インターフェースを大量悪用のために狙い、特定のハードウェア構成の特定を容易にする専用の検索エンジンに依存することが多い」と指摘している。
スピードが必要
Fortinetは複数の製品ラインにわたり修正をリリースした。FortiOSについては、バージョン7.6.4、7.4.9、7.2.12、7.0.18以降でパッチが利用可能だ。同様のパッチはFortiProxy、FortiSwitchManager、FortiWebにも提供されている。なお、FortiOS 6.4、FortiWeb 7.0、FortiWeb 7.2はこれらの脆弱性の影響を受けない。
直ちにパッチを適用できない組織は、システム設定またはコマンドラインインターフェースからFortiCloudログイン機能を無効化することで、一時的な回避策を実施できるとFortinetは述べた。同社は、影響を受ける組織に対し、影響のないバージョンへアップグレードできるまでこの措置を取るよう推奨している。
「Fortinetデバイスのパッチ適用には、本番停止を避けるためのメンテナンスウィンドウが必要だが、当面のリスクはパッチ適用の速度ではなく、インターネットに面した管理インターフェースの露出だ」と、TuskiraのCEO兼共同創業者であるPiyush Sharma氏はDark Readingへのコメントで述べている。パッチを検証している間、http/httpsの管理者アクセスを無効化するか、信頼できるIPに制限することで、組織は即時の回避策を実施できるという。長期的な防御には、不正な管理者アカウント、疑わしいjsconsoleセッション、予期しないSSL VPN認証といった侵害指標(IoC)をリアルタイム監視で継続的に検証することが必要だとSharma氏は述べている。
Arctic Wolfは、当該脆弱性を狙った攻撃に関連するパターンと一致する不審な活動を観測した場合、影響を受ける組織は自組織の認証情報が侵害されたものと想定すべきだとしている。同社は、そのような組織に対し、直ちにファイアウォールの認証情報をリセットし、可能な限り早く影響を受ける製品をパッチ適用済みバージョンへアップグレードすることを推奨している。「ネットワークアプライアンスの設定では通常、認証情報はハッシュ化されているが、特に認証情報が弱く辞書攻撃に弱い場合、脅威アクターがオフラインでハッシュを解読することが知られている」と同社は注意を促した。
「Fortinetデバイスは、ネットワーク境界でファイアウォールポリシー、VPNアクセス、トラフィックルーティングを制御しているため、高価値の標的だ」とSharma氏は述べ、組織に迅速なパッチ適用を助言している。1度の侵害で、攻撃者が不正アカウントを作成し、セキュリティポリシーを改変し、横展開のためのSSL VPNトンネルを確立できるようになると同氏は付け加えた。「現在のキャンペーンでは、攻撃者は将来の攻撃を支えるために、ネットワークトポロジーと認証情報を含む設定ファイルを盗み出しており、管理インターフェースが露出していれば認証ゼロで実行できる」としている。
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/critical-fortinet-flaws-under-active-attack
