つみかさね

CVE-2024-55591

Critical(9.8)

Fortinet FortiOSの認証バイパス CVE-2024-55591:影響範囲と対応方法

公開日: 2026-07-09データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
FortiOSFortinet7.0.0〜7.0.16
FortiProxyFortinet7.0.0〜7.0.19、7.2.0〜7.2.12

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1FortiOS / FortiProxy のバージョンを確認する(CLI: get system status)
  2. 2影響を受けるバージョンの場合、修正バージョンへ即時アップグレードする
  3. 3アップグレードが困難な場合は管理インターフェースへのアクセスを信頼できるIPアドレスのみに制限する
  4. 4管理者アカウントの不審なログインや設定変更がないか調査する

影響対象

FortiOS 7.0系利用者FortiProxy 7.0/7.2系利用者

補足

  • -CISA KEV掲載済みのため、実際の攻撃事例がある。対応を先延ばしにしないことを推奨
  • -管理インターフェースがインターネットに公開されている場合は特に緊急度が高い
CVEFortinetFortiOSFortiProxy認証バイパスCISA-KEV

30秒で判断

対応すべき人:

  • FortiOS 7.0.0〜7.0.16 を使用しているFirewall/VPN管理者
  • FortiProxy 7.0.0〜7.0.19 または 7.2.0〜7.2.12 を使用している環境

対応不要な人(skipIf):

  • Fortinet 製品を使用していない
  • FortiOS 7.0.17 以降 / FortiProxy 7.0.20 or 7.2.13 以降を使用している
  • FortiOS 6.x 系以前を使用している(ただし別の脆弱性がある可能性あり)

確認コマンド:

# FortiGate CLI でバージョン確認
get system status | grep "Version"

概要

Fortinet FortiOS および FortiProxy の Node.js WebSocket モジュールに、認証バイパスの脆弱性が存在します(CVE-2024-55591)。

リモートの認証されていない攻撃者が、細工したリクエストを Node.js の WebSocket モジュールに送信することで、スーパー管理者権限を取得できます。管理インターフェースへのネットワークアクセスが可能な攻撃者が対象です。

この脆弱性は CISA の既知の悪用済み脆弱性カタログ(KEV)に掲載されており、実際の攻撃への悪用が確認されています。 ネットワーク機器のゼロデイ悪用として積極的な攻撃活動が報告されていることから、未パッチの環境は速やかな対応が求められます。

CVSSベクトル

指標説明
Attack Vector (AV)Networkネットワーク経由で攻撃可能
Attack Complexity (AC)Low特別な条件不要
Privileges Required (PR)None認証不要
User Interaction (UI)Noneユーザー操作不要
Scope (S)Unchanged
Confidentiality (C)High
Integrity (I)High
Availability (A)High

CVSSスコア: 9.8 (CRITICAL) | CWE: CWE-288(代替パスによる認証バイパス)

影響を受けるソフトウェア

製品影響を受けるバージョン修正バージョン
FortiOS7.0.0〜7.0.167.0.17 以降
FortiProxy7.0.0〜7.0.197.0.20 以降
FortiProxy7.2.0〜7.2.127.2.13 以降

修正バージョンと回避策

推奨対応: FortiOS / FortiProxy を修正バージョンへアップグレードしてください。

即時アップグレードが困難な場合の回避策: 管理インターフェースへのアクセスを信頼できる IP アドレスのみに制限する。

# FortiOS CLI での管理アクセス制限例
config system global
    set admin-sport 443
    set admin-trusted-host "管理者IPアドレス/32"
end

または HTTP 管理アクセス(HTTPS ポート)を無効化する。

関連リンク


データソース: NVD (NIST), Fortinet PSIRT, CISA KEV AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。