Fortinet製品の脆弱性を悪用 攻撃者が最高レベルの管理者権限を取得か：Cybersecurity Dive

Forescout Researchの報告書によると「CVE-2024-55591」「CVE-2025-24472」として登録された2つの脆弱性が悪用され、認証されていない攻撃者が「FortiOS」のファイアウォールにおいて、最高レベルの管理者権限を得たという。

[David Jones，Cybersecurity Dive]

　セキュリティリサーチサービスを提供するForescoutの研究部門であるForescout Research-Vedere Labsが発表した報告書によると（注1）、2025年1月下旬、新たに発見されたランサムウェア「SuperBlack」がFortinet製品の重大な脆弱性を悪用していることが確認されたという。

FortiOSの最高レベルの管理者権限が奪われた　脆弱性の詳細とは？

　これらの攻撃では「CVE-2024-55591」「CVE-2025-24472」として登録された2つの脆弱性が悪用され（注2）（注3）、認証されていない攻撃者がファイアウォールOS「FortiOS」の最高レベルの管理者権限を得るという状況が発生した。

　研究者たちは、これらの攻撃を「Mora_001」として追跡されている攻撃者に関連付けており、その活動はランサムウェア「LockBit」の活動と一部重なっているようだ。

　Forescout Researchのブログ投稿によると、2025年1月27日（現地時間）にPoC（概念実証）のためのプログラムがリリースされてから数日以内に（注4）、研究者たちは2つの異なる方法を使用したアクティブな不正プログラムを観測した。

　一部のケースにおいて、攻撃者はJavaアプリケーションの動作を監視するツール「jconsole」のインタフェースに関連する脆弱性を介して、WebSocketの脆弱性を悪用していた。

　他のケースでは、HTTPSに関する直接のリクエストを使用した悪用も見つかった。この方法はログでは異なるように見えるが、研究者によると、根本的には同様の脆弱性が悪用されているという。

　ログインに関する最初の試みは、ランダムに生成された5文字のユーザーネームを使用して実行された。その後、攻撃者はローカルシステム上に管理ユーザーを作成した。

　研究者によると、露出した「FortiGate」のファイアウォールの数が最も多いのは米国であり、7677台が存在するという。次いでインドとブラジルが挙げられた。

（注1）New Ransomware Operator Exploits Fortinet Vulnerability Duo（FORESCOUT）
（注2）CVE-2024-55591 Detail（NIST）
（注3）CVE-2025-24472 Detail（NIST）
（注4）CVE-2024-55591（GitHub）

原文へのリンク