Fortinet製品群に複数の深刻な脆弱性 急ぎ対応を：セキュリティニュースアラート

Fortinetは、「FortiSwitch」「FortiAnalyzer」「FortiManager」「FortiOS」「FortiProxy」「FortiVoice」「FortiWeb」など同社の製品群に影響を及ぼす複数の重大な脆弱性を修正した。

[後藤大地，有限会社オングス]

　Fortinetは2025年4月8日（現地時間）、「FortiSwitch」「FortiAnalyzer」「FortiManager」「FortiOS」「FortiProxy」「FortiVoice」「FortiWeb」など同社の製品群に影響を与える複数の重大な脆弱（ぜいじゃく）性に対処したことを発表した。

　これらの脆弱性が悪用された場合、認証されていないリモートの攻撃者が管理者パスワードを変更したり、中間者攻撃を受けたりする可能性がある。修正された脆弱性の中には深刻度「緊急」（Critical）と評価されているものもあり注意が必要だ。

Fortinet製品に見つかった複数の脆弱性の詳細とは？

　修正対象となった脆弱性は以下の通りだ。

• CVE-2024-48887：　「Fortinet FortiSwitch GUI」に未検証のパスワード変更の脆弱性。認証されていないリモートの攻撃者が細工されたリクエストを介して管理者パスワードを変更できる可能性がある。共通脆弱性評価システム（CVSS） v3.1のスコア値は9.3で深刻度「緊急」（Critical）と評価されており注意が必要だ
• CVE-2024-26013：　通信チャネルの不適切なアクセス制御によって意図しない通信や操作が可能になる脆弱性により認証されていない攻撃者が中間者攻撃を実行する可能性がある。CVSS v3.1のスコア値は7.5で深刻度「重要」（High）とされている
• CVE-2024-50565：　通信チャネルの不適切なアクセス制御によって意図しない通信や操作が可能になる脆弱性により認証されていない攻撃者が中間者攻撃を実行する可能性がある。CVSS v3.1のスコア値は3.1で深刻度「低」（Low）と評価されている
• CVE-2024-52962：　ログの不適切な出力中和の脆弱性により、認証されていないリモート攻撃者が細工したログイン要求を介してログを改ざんする可能性がある。CVSS v3.1のスコア値は5.3で深刻度「警告」（Medium）と評価されている
• CVE-2024-32122：　資格情報の保護が不十分な脆弱性により、権限を持つ認証済みの攻撃者がLDAP資格情報を取得する可能性がある。CVSS v3.1のスコア値は2.3で深刻度「低」（Low）と評価されている

　各脆弱性の影響を受けるプロダクトとバージョンは以下の通りだ。

• CVE-2024-48887：　FortiSwitch 7.6〜6.4までのバージョン
• CVE-2024-26013、CVE-2024-50565：　FortiAnalyzer 7.4〜6.2、FortiManager 7.4〜6.2、FortiOS 7.4〜6.2、FortiProxy 7.4〜7.0および2.0、FortiVoice 7.0〜6.0、FortiWeb 7.4〜7.0までのバージョン
• CVE-2024-52962：　FortiAnalyzer 7.6〜7.0、FortiManager 7.6〜7.0までのバージョン
• CVE-2024-32122：　FortiOS 7.4〜6.4までのバージョン

　Fortinet製品は多くの企業や組織のネットワークで重要な役割を果たしており、脆弱性が発見されるとサイバー攻撃の対象となるリスクが高まる。該当ユーザーはセキュリティアドバイザリーを確認するとともに、速やかに更新および必要なセキュリティ対策を実施することが求められる。