FortiOSとFortiProxyに新たな脆弱性 悪用確認済みのため急ぎ対処を：セキュリティニュースアラート

Fortinetは、FortiOSとFortiProxyのセキュリティアドバイザリーを更新し、新たな認証バイパスの脆弱性を報告した。影響を受けるバージョンと修正情報が公表され、ユーザーには迅速なアップデートが推奨されている。

[後藤大地，有限会社オングス]

　Fortinetは2025年2月11日（現地時間、以下同）、「FortiOS」と「FortiProxy」に関するセキュリティアドバイザリーを更新し、新たな脆弱（ぜいじゃく）性（CVE-2025-24472）を追加したことを発表した。

　同脆弱性は2025年1月14日に報告された認証バイパスの脆弱性（CVE-2024-55591）と関連するが、現時点で修正済みだとされている。

FortiOSとFortiProxyに新たな脆弱性　既に悪用を確認済み

　発表された脆弱性は以下の通りだ。

• CVE-2025-24472：　認証バイパスの脆弱性。リモートの攻撃者が不正に細工されたCSFプロキシリクエストを利用することで管理者権限を取得できる可能性がある。共通脆弱性評価システム（CVSS）のスコア値は8.1で深刻度「重要」（High）と分析されている

　影響を受ける製品およびバージョンは以下の通りだ。

• FortiOS 7.0.0から7.0.16までのバージョン
• FortiProxy 7.2.0から7.2.12までのバージョン
• FortiProxy 7.0.0から7.0.19までのバージョン

　修正済みのバージョンは以下の通りだ。

• FortiOS 7.0.17およびこれ以降のバージョン
• FortiProxy 7.2.13およびこれ以降のバージョン
• FortiProxy 7.0.20およびこれ以降のバージョン

　FortiOS 7.2以降、FortiProxy 7.4以降、FortiOS 6.4およびFortiProxy 2.0は影響を受けない。

　CVE-2025-24472は攻撃者に積極的に悪用されている。観測された事例によると、攻撃者はランダムなユーザー名を使ってデバイスに管理者アカウントやローカルユーザーアカウントを作成し、新たなユーザーグループを作成するか既存のSSLVPNユーザーグループに不正に作成したローカルユーザーを追加している。

　また、ファイアウォールポリシーやファイアウォールアドレスなどの設定を追加・変更し、不正に作成したローカルユーザーを使ってSSLVPNにログインし、内部ネットワークへのトンネルを確立するとされている。

　該当ユーザーは攻撃リスクを低減するため、速やかにアップデートを適用することが推奨される。企業や組織はセキュリティアドバイザリーを確認するとともに更新および必要なセキュリティ対策を講じることが求められる。