CVE-2024-55591 検出: Fortinet FortiOS と FortiProxy の重大なゼロデイ脆弱性が実際に利用されています

2025年1月中旬、新しいFortinet FortiOS認証バイパスの脆弱性、CVE-2024-55591が出現し、数千もの組織が侵害のリスクにさらされる深刻な脅威として登場しました。この重大なゼロデイの欠陥は、FortiGateファイアウォールデバイスを潜在的な侵害に晒し、リモート攻撃者が影響を受けたシステムでスーパー管理者の権限を得ることを可能にします。Fortinetは、脆弱性が実際に悪用されていることを確認しており、即時の対応が必要です。

更新： 2025年1月28日、watchTowr Labsは最近 公開PoCエクスプロイトコードをリリースしました CVE-2024-55591用であり、現在GitHubで利用可能で、技術的詳細とともに 専用の研究が提供されています。 Shadowserverによると約5万の影響を受けたインスタンスがオンラインで報告されており、防御者は脆弱なバージョンを使用しているすべてのユーザーに迅速な対応を促し、必要なパッチを適用するよう強く推奨しています。CVE-2024-55591のエクスプロイト試行を事前に検出してサイバー攻撃をスケールアウトする方法を探り、以下の Fortinet FortiOS認証バイパスの脆弱性分析を参照してください。 脆弱性分析をご覧ください。

Fortinet FortiOS認証バイパスCVE-2024-55591の悪用試行を検出する

脆弱性の悪用のプロアクティブな検出は、特定された脆弱性の数の増加によりサイバーセキュリティでは最優先され続けています。CVE-2024-55591の重大な深刻度と広範な悪用により、セキュリティプロフェッショナルは潜在的な攻撃を時間内に検出するための信頼できる検出コンテンツを必要としています。

SOC Primeプラットフォーム は、集合的なサイバー防御のために、新興および既存の脅威のための業界初のCTI強化された検出ルールフィードを提供することにより、この必要性に応えています。包括的な製品スイートをバックボーンに持ち、高度な脅威検出、AI支援の検出エンジニアリング、および自動化された脅威ハンティングをサポートしています。

SOC Primeチームは最近CVE-2024-55591のエクスプロイト試行を検出する新しいSigmaルールをリリースしました。この検出は公開されている研究、およびPoCコードに基づいており、WAFやリバースプロキシのようなフロントエンドソースのWebログを要求をこれらのプロダクトに到達する前に収集されたPOSTヘッダーのデータと共に必要とします。このルールはMITRE ATT&CK®に関連しており、初期アクセスのタクティクスと対応する公に公開されたアプリケーションのエクスプロイト（T1190）技術に取り組んでいます。

可能性のあるCVE-2024-55591（FortiOSおよびFortiProxy認証バイパス）エクスプロイトパターン（ウェブサーバー経由）

以下の 検出を探る ボタンをクリックして、 Fortinet FortiOS認証バイパス脆弱性 すなわちCVE-2024-55591のエクスプロイト試行に対応するSigmaルールの完全なセットに即時にアクセスします。 ルールはMITRE ATT&CKフレームワークにマッピングされており、広範な 脅威インテルで強化されており、30以上のSIEM、EDR、およびデータレイクソリューションと互換性があります。

検出を探る

調査を進めるために、サイバーディフェンダーは Fortinetのアドバイザリに提供されたIOCをシームレスにハントできます。SOC Primeの Uncoder AI を利用して、任意のIOCベースのクエリを数秒で作成し、選択したSIEMまたはEDR環境で自動的に作業できます。以前は企業のクライアントにのみ提供されていたUncoder AIは、現在では個々の研究者にも利用可能になり、その完全な機能を提供します。詳細はこちらでご確認ください こちら.

CVE-2024-55591分析

2025年1月14日、FortinetはCVE-2024-55591に関するセキュリティアドバイザリを発行しました。この重大な認証バイパス脆弱性は、FortiOSバージョン7.0.0から7.0.16、FortiProxyバージョン7.0.0から7.0.19、およびFortiProxyバージョン7.2.0から7.2.12に影響を及ぼしています。この欠陥は、未認証のリモート攻撃者が、この脆弱性を悪用してNode.js websocketモジュールに細工されたリクエストを送信することで利用可能です。成功すると、攻撃者は影響を受けたデバイスでスーパー管理者の権限を得ることができます。

watchTowr Labsは最近 公開PoCエクスプロイト をこの重大なFortinet FortiOS認証バイパスであるCVE-2024-55591のために発行し、技術的な詳細をその 専用レポート.

と共に提供しました。Fortinetは、CVE-2024-55591の実世界での悪用を確認しており、 Arctic Wolfの研究 は、2024年11月中旬から活動している悪意のあるキャンペーンを発見し、この脆弱性を利用してインターネットに露出した管理インターフェースを介したFortiGateファイアウォールデバイスを侵害しました。研究者によると、このキャンペーンは、ファイアウォール管理インターフェースへの許可されていない管理アクセス、新しいユーザーアカウントの作成、それらのアカウントを使用したSSL VPN認証、および侵入者が内部ネットワークへの経路を確立することを助けるデバイス構成の複数の他の変更を含んでいました。

Fortinetの アドバイザリ では、ユーザーにHTTP/HTTPSの管理インターフェースを無効にするか、アクセスを制限してインターフェースに到達できるIPアドレスを制限するためにローカルインポリシーを使用することが推奨されています。さらに、可能であれば次の安全なバージョンにアップグレードするようユーザーに促しています：FortiOS 7.0.17以上（FortiOS 7.0の場合）、FortiProxy 7.0.20以上（FortiProxy 7.0の場合）、およびFortiProxy 7.2.13以上（FortiProxy 7.2の場合）。

SOC Primeプラットフォーム 集合的なサイバー防御のためのこのプラットフォームは、セキュリティチームがあらゆる規模と複雑さのサイバー脅威をアウトスケールし、組織のセキュリティ姿勢をリスク最適化するのを助ける、広く普及しているソフトウェア製品のCVEを含む脅威に対応します。