1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. Fortinet、FortiSwitchの重大な脆弱性を修正、対象者はアップデートを(CVE-2024-48887)

Fortinet、FortiSwitchの重大な脆弱性を修正、対象者はアップデートを(CVE-2024-48887)

セキュリティニュース

投稿日時: 更新日時:

Fortinet、FortiSwitchの重大な脆弱性を修正、対象者はアップデートを(CVE-2024-48887)

​Fortinet(フォーティネット)社は、2025年4月8日にFortiSwitchのGUIにおける重大な脆弱性(FG-IR-24-435:CVE-2024-48887)を公表しました。この脆弱性は、set_passwordエンドポイントにおける認証されていないパスワード変更の問題に起因し、攻撃者が認証なしにパスワードを変更できる可能性があります。

脆弱性の対象バージョン

バージョン 脆弱性の対象バージョン 脆弱性の対策バージョン
FortiSwitch 7.6 7.6.0 Upgrade to 7.6.1 以上
FortiSwitch 7.4 7.4.0 through 7.4.4 Upgrade to 7.4.5 以上
FortiSwitch 7.2 7.2.0 through 7.2.8 Upgrade to 7.2.9 以上
FortiSwitch 7.0 7.0.0 through 7.0.10 Upgrade to 7.0.11 以上
FortiSwitch 6.4 6.4.0 through 6.4.14 Upgrade to 6.4.15 以上

脆弱性の概要

Fortinet FortiSwitch GUI の未検証のパスワード変更脆弱性により、認証されていないリモートの攻撃者が特別に細工されたリクエストを介して管理者パスワードを変更できる可能性があります。CVSS3のスコアで9.8/10と高い危険性があるため、対象者はアップデートする事をお勧めします。

また、緩和策としては管理インターフェースから「HTTP/HTTPS アクセス」を無効にし、脆弱な FortiSwitch デバイスへのアクセスを信頼できるホストに制限する事が記載されています。

 

関連記事

WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063) 株式会社イセトーがランサムウェア感染と被害を発表イセトーのサイバー攻撃とランサムウェア 感染、情報漏えいのまとめ Default ThumbnailBtoBの展示会で利用できるイベントコンパニオン事務所のご紹介 Default ThumbnailWelcomeHRを運営するワークスタイルテックが約15万人の個人情報漏洩を発表 仮想通貨エアドロ「ハムスターコンバット」は世界的に1億5000万人がインストールされているとされています。ESETはこの「ハムスターコンバット」の偽のダウンロードページでマルウェアが配布されている事を警告しました。偽のハムスターコンバットでマルウェア配布を確認 ランサムウェア 事例解説|被害の内容をランサムウェアの種類別に紹介ランサムウェアの事例を解説 トロイの木馬化された「jQuery」がnpmやGitHubで拡散トロイの木馬化された「jQuery」がnpmやGitHubで拡散 Remogu(リモグ)を運営するLASSICが元顧客のICHIGOを提訴Remogu(リモグ)を運営するLASSIC(ラシック)が元顧客のICHIGOを提訴 Fortinetが440GBのデータを窃取される 脅威アクターがサードパーティー経由でハッキングかFortinetが440GBのデータを窃取される 脅威アクターがサードパーティー経由でハッキングか