概要

Fortinetは、FortiPAMおよびFortiSwitch Manager製品に影響を与える重大なセキュリティ脆弱性を開示しました。この脆弱性（CVE-2025-49201）は、攻撃者がブルートフォース攻撃を通じて認証メカニズムをバイパスすることを可能にします。Fortinet製品セキュリティチームのGwendal Guégniaud氏によって内部的に発見され、2025年10月14日に公開されました。

脆弱性の詳細

このセキュリティ上の欠陥は、FortiPAMおよびFortiSwitch ManagerのWAD/GUIコンポーネントにおけるCWE-1390に分類される認証の弱さに起因します。これにより、脅威アクターは影響を受けるシステムに対してブルートフォース攻撃を仕掛けることで、認証プロセスを回避できます。

CVSS v3.1スコアは7.4（高 severity）と評価されており、脆弱なバージョンを使用している組織にとって重大なリスクを示しています。攻撃ベクトルはネットワークベースであり、ユーザーの操作や事前の特権は必要ありません。攻撃の複雑性は高いと評価されていますが、悪用に成功すると、攻撃者は侵害されたシステム上でコードやコマンドを不正に実行できるようになります。このレベルのアクセスは、システム全体の侵害、データ窃盗、または企業ネットワーク内でのさらなる横方向の移動につながる可能性があります。

影響を受けるバージョンと解決策

この脆弱性は、FortiPAMおよびFortiSwitchManagerの複数のバージョンに影響を与えます。組織は、以下の情報に基づいて速やかにパッチ適用または移行を行う必要があります。

• FortiPAM 1.5: バージョン1.5.0は、1.5.1以降へのアップグレードが必要です。
• FortiPAM 1.4: バージョン1.4.0から1.4.2は、1.4.3以降へのアップグレードが必要です。
• FortiPAM 1.3、1.2、1.1、1.0: これらのレガシーバージョンにはパッチが提供されていないため、修正済みのリリースへの完全な移行が必要です。
• FortiSwitchManager 7.2: バージョン7.2.0から7.2.4は、7.2.5以降へのアップグレードが必要です。

なお、FortiPAMバージョン1.6および1.7、ならびにFortiSwitchManager 7.0は、この脆弱性の影響を受けません。

推奨事項

Fortinetインフラストラクチャを管理するセキュリティチームは、展開構成に基づいてパッチ適用作業を優先する必要があります。特に、インターネットに接続されているFortiPAMまたはFortiSwitchManagerのインストール環境を持つ組織は、迅速な対策が求められます。

管理者は、現在のソフトウェアバージョンを確認し、不審な認証試行がないかアクセスログをレビューし、可能であればIPホワイトリストや多要素認証などの追加のセキュリティ制御を実装する必要があります。サポートされていないバージョンを実行しているシステムについては、速やかにサポートされているリリースへの移行計画を策定することが重要です。パッチが展開されている間は、認証ログを定期的に監視し、異常なブルートフォースパターンを検出することで、潜在的な悪用試行を特定するのに役立ちます。

元記事: https://gbhackers.com/fortipam-fortiswitch-manager-flaw/