Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「FortiOS」ゼロデイ脆弱性 - 詳細や概念実証が公開

watchTowrは、今回判明した脆弱性「CVE-2024-55591」が、単純な認証のバイパスではないと指摘。

認証されたHTTPリクエストから「WebSocket接続」を作成できることや、セッションチェックをスキップできること、競合状態によりサーバーよりも先に認証を送信できる、認証にアクセスプロファイルが利用されるなど、複合的な問題より重大な脆弱性に結びついたと説明している。

同社はインスタンスにおいて脆弱な挙動を診断できるスクリプトを公開。脆弱なインスタンスが約5万件にのぼるとの指摘もあるとし、対象バージョンの利用者にパッチの適用など対策を講じるよう注意を呼びかけた。

さらに同社は、「CVE-2024-55591」に関する概念実証コード(PoC)を公開した。

今後さらに同脆弱性の悪用が増加するおそれもあり、脆弱性への対策漏れがないか、注意が必要となる。

(Security NEXT - 2025/01/30 ) このエントリーをはてなブックマークに追加

PR

関連記事

「FortiOS」脆弱性や不正コード混入「Githubアクション」の悪用に注意喚起 - 米政府
「FortiOS」に権限昇格の脆弱性 - アップデートで修正実施
「FortiOS」にあらたな脆弱性 - 悪用済み脆弱性と関連する脆弱性も
「FortiOS」に複数脆弱性 - 一部で悪用報告も
「FortiSwitch」に深刻な脆弱性 - 修正版以降に更新を
米当局、悪用されている脆弱性5件について注意喚起
頻繁に悪用された脆弱性トップ15 - 多くでゼロデイ攻撃も
「FortiOS」などFortinetの複数製品に脆弱性 - アドバイザリ18件を公開
悪用済み脆弱性「CVE-2024-23113」の対象製品を追加 - Fortinet
IvantiやFortinetの脆弱性狙う攻撃に注意喚起 - 米当局