CVE-2024-55591: フォーティネット認証バイパスゼロデイ脆弱性が実際に悪用されている

フォーティネットは、FortiOSおよびFortiProxyの重要なゼロデイ認証バイパス脆弱性を修正しました。この脆弱性は、2024年11月から野生で活用されてきました。CVE-2024-55591として追跡されているこの脆弱性により、認証されていないリモートアタッカーは、Node.js WebSocketモジュールに特別に作成されたリクエストを送信することで、脆弱なデバイスで超管理者権限を取得し、認証をバイパスできます。Arctic Wolfの研究者は、2024年11月中旬にこの脆弱性の活用に関連する疑わしい活動を初めて観察しました。この脆弱性は、スキャニング、偵察、SSL VPN構成、およびラテラルムーブメントの4つの異なる段階を含むキャンペーンで活用されています。フォーティネットは、FortiOSおよびFortiProxyの修正プログラムをリリースし、セキュリティアドバイザリで脆弱性の兆候と回避策の手順も提供しています。同社は、FortiOSおよびFortiProxyに影響を及ぼす脆弱性に関する複数のセキュリティアドバイザリもリリースしています。この脆弱性は、2019年から先進的な持続的脅威アクターを含む脅威アクターによって標的とされてきた一連の欠陥の中で最新のものです。フォーティネットは、影響を受けるFortiOSおよびFortiProxyのバージョンの修正プログラムをリリースしており、顧客は活用を防ぐために修正されたバージョンにアップグレードすることを推奨しています。Tenableも、影響を受けるシステムを特定するのに役立つプラグインをリリースしており、顧客はTenable Attack Surface Managementを使用してパブリックに公開されているフォーティネット資産を特定できます。