Fortinetの脆弱性（CVE-2024-55591,CVE-2025-24472）を狙うサイバー攻撃が国内でも発生-JPCERT

2025年に入り、Fortinetのファイアウォール「FortiOS」および「FortiProxy」に認証を回避しsuper-admin権限を奪取される脆弱性（CVE-2024-55591）、管理者権限を乗っ取れるゼロデイ脆弱性（CVE-2025-24472）が確認されており、5月9日JPCERT/CCおよびFortinetは日本国内でも3月以降、この脆弱性を悪用したと見られるインシデントが発生していることを警告しています。

国内インシデントとランサムウェア攻撃への悪用

2025年5月9日にJPCERT/CCが更新した注意喚起によれば、日本国内においても2025年3月以降、本脆弱性を悪用したインシデントが複数確認されています。

さらに、米セキュリティ企業Forescoutは、これらの脆弱性（CVE-2024-55591およびCVE-2025-24472）を悪用したランサムウェア攻撃が2025年1月から3月にかけて発生しているとする分析レポートを発表。

同レポートでは、実際に攻撃に使われたIPアドレスやファイル名といったIoC（Indicators of Compromise）も公開されています。

技術的な概要：未認証での管理者アクセス

CVE-2024-55591は、FortiOSおよびFortiProxyにおけるWebベースのCLI機能（jsconsole）と、WebSocket通信の設計上の不備が原因とされています。watchTowr LabsのAliz Hammond氏によってPoC（概念実証）コードも公開されており、攻撃者は認証なしで次のような操作が可能です。

• 管理インターフェースにWebSocketで接続

• 特別なlocal_access_tokenパラメータを用いてセッション検証をバイパス

• CLIコマンドを通じて新たな管理者アカウントを作成

• システム全体を完全に制御

特にこの手法は、セッションの確立過程で発生するレースコンディションを利用し、ログイン処理をすり抜ける形で管理者権限を奪うという高度な技術が使われています。

両脆弱性の対象となる製品バージョン

• FortiOS：7.0.0 ～ 7.0.16

• FortiProxy：7.0.0 ～ 7.0.19 および 7.2.0 ～ 7.2.12

両脆弱性の対策バージョン

Fortinetはすでにこれら脆弱性を修正した以下のバージョンをリリースしており、即時のアップデートが推奨されています。

• FortiOS：7.0.17 以降

• FortiProxy：7.0.20 以降および7.2.13 以降

本件は、単なる技術的ミスではなく、実際に国内外で組織的なサイバー攻撃に悪用されている脆弱性です。特にFortinet製品は広く導入されており、セキュリティ対策が後手に回れば、被害が拡大する恐れがあります。既にPoCが出回っていることも踏まえ、対象製品を使用している組織は一刻も早くバージョンアップと対策の実施を進めるべきです。

一部参照

https://www.jpcert.or.jp/at/2025/at250003.html