TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

Fortinet、ファイアウォールにおける重大なゼロデイ脆弱性を確認

Fortinetは、同社のFortiGateファイアウォールの一部に影響する新たな重大なゼロデイ脆弱性を公表しました。

1月14日に公開されたセキュリティアドバイザリで、FortiGuard Labsは、FortiOSおよびFortiProxyに影響する新たな認証バイパス脆弱性を明らかにし、これが悪用されるとFortiGateデバイスが侵害され得るとしました。

この欠陥(CVE-2024-55591)にはCVSSスコア9.6が割り当てられており、重大(Critical)な深刻度を示しています。Fortinetはまた、この脆弱性が実際の環境で積極的に悪用されているという報告も確認しました。

今回の新たな公表は、Arctic Wolfが、2024年12月以降、パブリックインターネット上に管理インターフェースが露出しているFortiGateファイアウォール機器に影響する大規模な悪用キャンペーンを観測したと述べてから5日後のことです。

Arctic Wolfの研究者は、脅威アクターがファイアウォールの設定を改変し、DCSyncを用いて認証情報を抽出しているのを確認しました。

「このキャンペーンで使用された初期侵入ベクターはまだ確認されていないものの、影響を受けた組織全体にわたる短期間での発生状況および影響を受けるファームウェアのバージョンを踏まえると、ゼロデイ脆弱性の大量悪用が起きている可能性が高いとArctic Wolf Labsは高い確度で評価している」と、同アドバイザリは述べています

FortiOSおよびFortiProxyに影響する認証バイパス

CVE-2024-55591は、FortiOSおよびFortiProxyにおける代替パスまたはチャネルの弱点を利用して認証をバイパスできる脆弱性です。悪用されると、Node.jsのWebソケットモジュールに対する細工されたリクエストを介して、リモートの攻撃者がスーパー管理者権限を取得できる可能性があります。

影響を受けるのは、FortiOS 7.0.0〜7.0.16、およびFortiProxy 7.0.0〜7.0.19、ならびに7.2.0〜7.2.12です。

FortiGuard Labsのアドバイザリによると、これ以外のFortiOSおよびFortiProxyのバージョンは影響を受けません。

緩和策の推奨

CVE-2024-55591の悪用を防ぐため、FortiGuard Labsは、可能な場合はユーザーはアップグレードすべきとして、FortiOS 7.0を7.0.17以降、FortiProxy 7.0を7.0.20以降、FortiProxy 7.2を7.2.13以降へ更新するよう推奨しました。

このセキュリティベンダーは回避策も提示しています。

  1. HTTP/HTTPSの管理インターフェースを無効化するか、local-inポリシーを通じて管理インターフェースに到達できるIPアドレスを制限する:

config firewall address
edit “my_allowed_addresses”
set subnet
end

  1. アドレスグループを作成する:

config firewall addrgrp
edit “MGMT_IPs”
set member “my_allowed_addresses”
end

  1. 管理インターフェース(ここでは: port1)で、事前定義したグループのみにアクセスを制限するLocal-inポリシーを作成する:

config firewall local-in-policy
edit 1
set intf port1
set srcaddr “MGMT_IPs”
set dstaddr “all”
set action accept
set service HTTPS HTTP
set schedule “always”
set status enable
next

edit 2
set intf “all”
set srcaddr “all”
set dstaddr “all”
set action deny
set service HTTPS HTTP
set schedule “always”
set status enable
end

  1. デフォルト以外のポートを使用している場合、GUI管理アクセス用の適切なサービスオブジェクトを作成する:

config firewall service custom
edit GUI_HTTPS
set tcp-portrange 443
next

edit GUI_HTTP
set tcp-portrange 80
end

  1. local-inポリシー1および2では、「HTTPS HTTP 」の代わりにこれらのオブジェクトを使用する

今すぐ読む: Fortinet、重大なFortiManagerゼロデイ脆弱性の悪用を確認

翻訳元: https://www.infosecurity-magazine.com/news/fortinet-confirms-critical-zero-day/

ソース: infosecurity-magazine.com
#CVE-2024-55591 #CVSS 9.6 #FortiGate #Fortinet #FortiOS #FortiProxy #ゼロデイ脆弱性 #緩和策・アップデート #認証バイパス #野放し攻撃(in the wild)

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新