サイバーニュース.jp

世界のサイバーなニュースを配信

Fortinet、ゼロデイ脆弱性「CVE-2026-24858」への攻撃をブロック、パッチ公開を待つ

カテゴリ:

緊急速報:FortiCloud SSOのゼロデイ脆弱性

Fortinetは、FortiCloudシングルサインオン (SSO) における新たな認証バイパスのゼロデイ脆弱性 (CVE-2026-24858) が活発に悪用されていることを認めました。この脆弱性は、すでにパッチが適用されているデバイスであっても、攻撃者がFortiOS、FortiManager、FortiAnalyzerデバイスへの管理者アクセスを不正に取得できるというものです。

同社は、パッチが開発されるまでの間、脆弱なファームウェアバージョンのデバイスからのFortiCloud SSO接続をブロックすることで、ゼロデイ攻撃を緩和する措置を講じました。

攻撃の詳細と経緯

事件は2026年1月21日にFortinet顧客からの報告で発覚しました。最新ファームウェアを実行しているFortiGateファイアウォールが侵害され、攻撃者は「cloud-init@mail.io」というメールアドレスを使用してFortiCloud SSO経由で新しいローカル管理者アカウントを作成していました。当初、これは2025年12月にパッチが適用された以前の認証バイパス脆弱性 (CVE-2025-59718) のパッチ回避であると考えられていました。

1月22日には、サイバーセキュリティ企業Arctic Wolfがこれらの攻撃を確認し、自動化された攻撃である可能性が高いと指摘。新たな管理者アカウントやVPN有効化アカウントが数秒で作成され、ファイアウォール設定が流出していたと報告しています。

1月23日、Fortinetは、完全にパッチが適用されたシステムにも残されていた「代替認証パス」が悪用されていることを正式に認めました。FortinetのCISOであるCarl Windsor氏は、この問題がFortiCloud SSOだけでなく、他のSAMLベースのSSO実装にも適用される可能性があると警告しています。

Fortinetによる対応と緩和策

Fortinetは、パッチ開発中に攻撃を緩和するための一連の措置を講じてきました。

  • 1月22日:悪用されていたFortiCloudアカウントを無効化。
  • 1月26日:さらなる悪用を防ぐため、FortiCloud側でFortiCloud SSOをグローバルに無効化
  • 1月27日:FortiCloud SSOアクセスを復元するも、脆弱なファームウェアを実行するデバイスはSSO経由で認証できないよう制限。これにより、クライアント側での追加の操作なしに、サーバー側で悪用が効果的にブロックされました。
  • 1月27日:正式なPSIRTアドバイザリを公開し、CVE-2026-24858をCVSSスコア9.4の「緊急」として評価。

この脆弱性は、FortiCloud SSOにおける不適切なアクセス制御によって引き起こされる「代替パスまたはチャネルを使用した認証バイパス」とされています。攻撃者は、FortiCloudアカウントと登録済みのデバイスがあれば、FortiCloud SSOが有効になっている他の顧客のデバイスに認証できる状態でした。FortiCloud SSOはデフォルトで有効にはなりませんが、FortiCareにデバイスが登録されると自動的にオンになる可能性があります。

侵害の兆候と推奨される対策

Fortinetは、以下の兆候がログに見られる場合、デバイスが完全に侵害されたものとして扱うべきだと警告しています。

悪意のあるFortiCloud SSOアカウント(1月22日にロックアウト済み):

  • cloud-noc@mail.io
  • cloud-init@mail.io

作成された可能性のある管理者アカウント:

  • audit
  • backup
  • itadmin
  • secadmin
  • support
  • backupadmin
  • deploy
  • remoteadmin
  • security
  • svcadmin
  • system

関連する疑わしいIPアドレス:

  • 104.28.244.115
  • 104.28.212.114
  • 104.28.212.115
  • 104.28.195.105
  • 104.28.195.106
  • 104.28.227.106
  • 104.28.227.105
  • 104.28.244.114

第三者によって観測された追加のIPアドレス:

  • 37[.]1.209.19
  • 217[.]119.139.50

Fortinetは、侵害された可能性のある顧客に対し、以下の対策を強く推奨しています:

  • すべての管理者アカウントを確認する。
  • 既知のクリーンなバックアップから設定を復元する。
  • すべての資格情報をローテーション(変更)する。

今後の見通しと管理者の対応

FortiOS、FortiManager、FortiAnalyzer用のパッチは現在も開発中ですが、サーバーサイドでのブロックにより、管理者は現時点ではFortiCloud SSOを無効にする必要はありません。しかし、他のSAMLベースのSSO実装を使用している管理者は、念のため以下のコマンドでSSO機能を一時的に無効にすることを検討してください。

config system global
set admin-forticloud-sso-login disable
end

Fortinetは、FortiWebおよびFortiSwitch Managerがこの脆弱性の影響を受けるかどうかも引き続き調査中です。

元記事: https://www.bleepingcomputer.com/news/security/fortinet-blocks-exploited-forticloud-sso-zero-day-until-patch-is-ready/

投稿をさらに読み込む