TokyoBlackHatNews

esecurityplanet.com 5分で読了

Fortinet FortiSandboxのSSRFバグが内部ネットワークへのリクエストをプロキシ

Fortinetは、細工されたHTTPリクエストを介して攻撃者が内部トラフィックをプロキシできる可能性がある、FortiSandboxのSSRF脆弱性を修正しました。 

Fortinetはこの問題を低深刻度と評価していますが、この欠陥は分離された環境に展開されることの多いセキュリティアプライアンスに影響するため、管理者アクセスが侵害された場合に有用な踏み台になり得ます。  

この脆弱性は「…認証済みの攻撃者が、細工されたHTTPリクエストを介して、平文エンドポイントのみに限定された内部リクエストをプロキシできる可能性がある」と、Fortinetはアドバイザリで述べています

CVE-2025-67685の詳細

CVE-2025-67685は、FortiSandboxのGUIコンソールにおける入力検証とアクセス制御の弱さに起因するサーバーサイド・リクエスト・フォージェリ(SSRF)脆弱性です。 

簡単に言えば、認証済みの攻撃者が特別に細工したリクエストを送信することで、アプライアンスに代わりにネットワークトラフィックを送らせ、実質的にFortiSandboxをプロキシとして利用して、攻撃者が通常は直接アクセスできない可能性のある内部システムへ到達できます。

この挙動は、localhostやプライベートIPレンジなどの内部宛先に限定され、TLSなしのHTTP/HTTPSによる平文Webサービスへの接続のみをサポートします。 

そのため、任意のインターネット上のターゲットや機密性の高いクラウドメタデータエンドポイントに到達できるような、より広範なSSRF問題と比べると、全体的な影響範囲は縮小されます。

こうした制約があっても、この欠陥は実環境では依然として有用になり得ます。FortiSandboxのようなセキュリティアプライアンスは、分離されたネットワークの奥深くに配置されることが多く、他の内部サービスと日常的に通信します。 

攻撃者が有効な認証情報、特に管理者アクセスを取得した場合、SSRFは内部探索やピボットのための実用的なツールになり得ます。これにより攻撃者は次のことが可能になる場合があります:

  • 内部サービスの列挙:外部に公開されていないホストやポートをテストする。
  • 内部応答の取得:バナー、ステータスページ、基本的なAPI出力などを取得する。
  • 内部管理コンソールとの対話:強固な認証よりもネットワーク上の位置を信頼する管理画面にアクセスする。
  • 後続の移動を支援:セグメンテーションが主要な障壁となっている環境での移動を助ける。

言い換えると、この脆弱性は必ずしも直接的な乗っ取りへの道ではありませんが、制限されたネットワーク内での偵察やラテラルムーブメントに役立つ視点を攻撃者に与える可能性があります。 

Fortinetは、この脆弱性が実際の攻撃で悪用された証拠はないと報告しています。

セグメント化ネットワークにおけるSSRFリスクの低減

低深刻度のSSRF脆弱性であっても、セグメント化ネットワークの奥深くに配置されたセキュリティアプライアンスに影響する場合、リスクが過大になり得ます。 

FortiSandboxはしばしば広範な内部信頼のもとで動作するため、管理者アカウントが侵害されると、機密サービスへリクエストをプロキシする目的で悪用される可能性があります。 

以下の緩和策は、レガシーな露出の排除、特権アクセスの強化、内部到達範囲の厳格な制約によって、そのリスクを低減することに焦点を当てています。 

  • FortiSandboxのバージョンをアップグレードし、レガシーな4.x系ブランチから修正済みのサポート対象リリースへ移行する。
  • FortiSandbox GUIへのアクセスを信頼できる管理ネットワークに制限し、専用の管理者セグメントの背後に管理機能を隔離する。
  • MFAの必須化、管理者アカウントの分離、ログイン元とセッション時間の制限により、強固な特権アクセス制御を徹底する。
  • 厳格なエグレス制御を適用し、FortiSandboxが承認された内部エンドポイントにのみ到達できるようにし、機密ネットワーク間でトラフィックをプロキシできないようにする。
  • 可能な限り平文の内部サービスを無効化し、内部エンドポイントをTLSのみのアクセスへ移行することで、SSRFで到達可能なターゲットを減らす。
  • GUIログを監査し、SSRF様の挙動に対する検知を導入する。これには、localhost/内部IPへの繰り返しの取得、異常な宛先ポート、またはリクエストパターンが含まれる。
  • FortiSandbox侵害を想定したインシデント対応プレイブックをテストする。これには、封じ込め、ログレビュー、認証情報のローテーションが含まれる。

これらの手順は、アクセスの厳格化、内部到達範囲の制限、運用準備性の向上によって、FortiSandboxのSSRF露出を低減するのに役立ちます。

このFortiSandboxのバグが依然として重要である理由

Fortinetの修正は重要なセキュリティ上の教訓を改めて示しています。信頼されたインフラがセグメント化ネットワークの奥深くに存在する場合、「低深刻度」の欠陥であっても重要になり得ます。 

FortiSandboxを使用している組織は、プロキシ動作を排除するために速やかにパッチを適用すべきです。 

また、アカウントが侵害された場合の内部偵察やラテラルムーブメントを抑えるため、特権アクセス、管理プレーンの分離、アウトバウンド制御も強化すべきです。 

この種の内部信頼の崩壊は、アクセスを継続的に検証し、セグメンテーションだけを主要なセキュリティ制御とみなさないゼロトラストを組織が活用している理由を浮き彫りにしています。

翻訳元: https://www.esecurityplanet.com/threats/fortinet-fortisandbox-ssrf-bug-proxies-internal-network-requests/

ソース: esecurityplanet.com
#CVE-2025-67685 #Fortinet #FortiSandbox #SSRF #セキュリティアプライアンス #ゼロトラスト #ネットワークセグメンテーション #内部ネットワーク #横方向移動 #脆弱性

関連記事

Claude Code GitHub Actionsの脆弱性がサプライチェーン攻撃リスクを招いた問題

GoogleがAndroidのゼロデイ脆弱性にパッチを適用——実際の悪用が確認

偽のClaude Codeインストーラーが認証情報を盗むマルウェアを配布