1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. Fortinetの新たな脆弱性がゼロデイ攻撃に悪用(CVE-2025-24472)

Fortinetの新たな脆弱性がゼロデイ攻撃に悪用(CVE-2025-24472)

セキュリティニュース

投稿日時: 更新日時:

Fortinetで新たなゼロデイ脆弱性(CVE-2025-24472)

サイバーセキュリティ企業 Arctic Wolf はFortinet FortiGateファイアウォールの管理インターフェースが標的となる攻撃キャンペーン「Console Chaos」を発見したと発表しました。今回の攻撃は、ゼロデイ脆弱性(CVE-2025-24472)や過去の既知の脆弱性(CVE-2024-55591)を悪用しインターネットに公開されたファイアウォールの管理ポータルを狙い、不正アクセスを試みる高度な手法が用いられています。

脆弱性 CVE-2025-24472の対象バージョン

  • FortiOS 7.0.0 ~ 7.0.16
  • FortiProxy 7.0.0 ~ 7.0.19
  • FortiProxy 7.2.0 ~ 7.2.12

パッチ適用バージョン

Fortinet は、FortiOS 7.0.17 以上および FortiProxy 7.0.20/7.2.13 以上でこの問題を修正済み。

攻撃キャンペーンの概要

Arctic Wolf Labsの調査によると、攻撃者は公開されたFortinet FortiGateファイアウォールの管理インターフェースを利用し、組織のネットワークに不正侵入することを狙っています。

この攻撃の最大の特徴は、管理者権限を乗っ取れるゼロデイ脆弱性(CVE-2025-24472)や過去の既知の脆弱性(CVE-2024-55591)を利用している可能性が高いことです。

特に、管理インターフェースを公開している環境では、リモートからの認証バイパス攻撃が実行される危険性が高まります。

なお、2024年11月中旬から以下4フェーズに分けて活動しており、世界中の企業や組織が標的になっている可能性があります。

  • 脆弱性スキャン(2024年11月16日~11月23日)

    • インターネットに公開されているFortiGateファイアウォールをスキャンし、脆弱なターゲットを特定。

  • 偵察(2024年11月22日~11月27日)

    • 認証バイパスを試み、管理インターフェースへのアクセスを狙う。

  • SSL VPN構成の改変(2024年12月4日~12月7日)

    • 既存の管理者アカウントやVPN設定を変更し、新たなバックドアを作成。

  • 横移動(2024年12月16日~12月27日)

    • 取得した管理者権限を利用し、内部ネットワークへのアクセスを試みる。

一般的な対策

一般的な対策は以下です。

1. 管理インターフェースの公開を制限

  • ファイアウォールの管理インターフェース(HTTP/HTTPS)をインターネットに公開しない。
  • 接続元のIP制限の実施

2. 最新のパッチ適用

  • Fortinetは、CVE-2025-24472(認証バイパスの脆弱性)を修正するアップデートをリリースしているため、FortiOSおよびFortiProxyを最新バージョンに更新する。

3. セキュリティログの監視

  • 新規管理者アカウントの作成やVPN設定の変更が行われていないかを確認。
  • 過去に適用された管理ポリシーが改変されていないか監査。

4. ゼロトラストのアプローチの導入

  • すべての管理者アクセスに多要素認証(MFA)設定し、パスワードだけでは突破できない環境を整備する。
  • EDR(エンドポイント検知・対応)ソリューションを導入し、異常なアクティビティをリアルタイムで監視する。

侵害の兆候 (IoC)

インジケータ 種類 概要
23.27.140[.]65 IPv4 Address
• AS149440 – Evoxt Enterprise
• SSL VPN client IP address
• Web management interface client
66.135.27[.]178 IPv4 Address
• AS20473 – The Constant Company Llc
• SSL VPN client IP address
• Web management interface client
157.245.3[.]251 IPv4 Address
• AS14061 – Digitalocean Llc
• SSL VPN client IP address
• Web management interface client
45.55.158[.]47 IPv4 Address
• AS14061 – Digitalocean Llc
• SSL VPN client IP address
• Web management interface client
167.71.245[.]10 IPv4 Address
• AS14061 – Digitalocean Llc
• SSL VPN client IP address
• Web management interface client
137.184.65[.]71 IPv4 Address
• AS14061 – Digitalocean Llc
• SSL VPN client IP address
155.133.4[.]175 IPv4 Address
• AS62240 – Clouvider Limited
• SSL VPN client IP address
• Web management interface client
31.192.107[.]165 IPv4 Address
• AS50867 – Hostkey B.V.
• SSL VPN client IP address
37.19.196[.]65 IPv4 Address
• AS212238 – Datacamp Limited
• Web management interface client
64.190.113[.]25 IPv4 Address
• AS399629 – BL Networks
• Web management interface client

 

関連記事

SonicWall SSL VPNの脆弱性(CVE-2024-40766)を狙ったFogおよびAkiraランサムウェア攻撃の増加SonicWall SSL VPNの脆弱性(CVE-2024-40766)を狙ったFogおよびAkiraランサムウェア攻撃の増加 FortinetがFortiOSとFortiProxyのゼロデイ攻撃を警告(CVE-2024-55591)FortinetがFortiOSとFortiProxyのゼロデイ攻撃を警告(CVE-2024-55591) SonicWallの重大な脆弱性(CVE-2024-40766)が悪用される可能性SonicWallの重大な脆弱性(CVE-2024-40766)を ランサムウェア 攻撃グループAkiraが悪用 北朝鮮のIT労働者に脅かされる日本企業の調査レポート北朝鮮のIT労働者が日本企業で偽装就労か 実態とセキュリティリスクを解説 Ivanti VPN の脆弱性がゼロデイ攻撃の標的に(CVE-2025-0282とCVE-2025-0283)Ivanti VPN の脆弱性がゼロデイ攻撃の標的に(CVE-2025-0282とCVE-2025-0283) Fortinetで重大な脆弱性のセキュリティアップデートを実施 FortiClient、FortiClientLinux、FortiProxyなどFortinetで重大な脆弱性のセキュリティアップデートを実施 FortiClient、FortiClientLinux、FortiProxyなど  7-Zipの脆弱性がゼロデイ攻撃に悪用されている(CVE-2025-0411)7-Zipの脆弱性がゼロデイ攻撃に悪用されている(CVE-2025-0411) SKYSEA Client Viewで重要な脆弱性(CVE-2024-41139、CVE-2024-41143、CVE-2024-41726)SKYSEA Client Viewで重要な脆弱性(CVE-2024-41139、CVE-2024-41143、CVE-2024-41726) 中国のハッカーがFortinetのゼロデイ脆弱性を悪用し、資格情報を盗む中国のハッカーがFortinetのゼロデイ脆弱性を悪用し、資格情報を盗む