【CVE番号】
　CVE-2024-55591


【重要度】
　Critical


【対象製品/バージョン】
　FortiGate, FortiWiFi
　　ver.7.0.0 ～ 7.0.16

　FortiProxy
　　ver.7.2.0 ～ 7.2.12
　　ver.7.0.0 ～ 7.0.19

【影響】
　FortiOS および FortiProxy に影響する代替パスまたはチャネルを使用した認証バイパスの脆弱性により、
　リモートの攻撃者が Node.js Websocket モジュールへの細工されたリクエストを介してスーパー管理者
　権限を取得できる可能性があります。

　報告によれば、これが実際に悪用されているとのことですので、ご注意ください。


【対策】
　以下のバージョンへのアップグレードを実施してください。

　FortiGate, FortiWiFi
　　ver.7.0.17 以降

　FortiProxy
　　ver.7.2.13 以降
　　ver.7.0.20 以降

　以下のツールを使用して、推奨されるアップグレード パスに従ってください。
　https://docs.fortinet.com/upgrade-tool


　ワークアラウンド
　1．HTTP/HTTPS管理インターフェースを無効にします。

　2．local in policyを使用して管理インターフェイスにアクセスできる IP アドレスを制限します。
　　設定例
　　config firewall address
　　　edit "my_allowed_addresses"
　　　　　set subnet
　　　end

　　Then create an Address Group:
　　config firewall addrgrp
　　　edit "MGMT_IPs"
　　　　set member "my_allowed_addresses"
　　　end

　　管理インターフェイス (ここでは port1) 上の定義済みグループのみにアクセスを制限するlocal in policy を
　　作成します。

　　config firewall local-in-policy
　　　edit 1
　　　　set intf port1
　　　　set srcaddr "MGMT_IPs"
　　　　set dstaddr "all"
　　　　set action accept
　　　　set service HTTPS HTTP
　　　　set schedule "always"
　　　　set status enable
　　　next
　　　edit 2
　　　　set intf "all"
　　　　set srcaddr "all"
　　　　set dstaddr "all"
　　　　set action deny
　　　　set service HTTPS HTTP
　　　　set schedule "always"
　　　　set status enable
　　　end

　　デフォルト以外のポートを使用する場合は、GUI 管理アクセス用の適切なサービス オブジェクトを
　　作成します。

　　config firewall service custom
　　　edit GUI_HTTPS
　　　　set tcp-portrange 443
　　　next
　　　edit GUI_HTTP
　　　　set tcp-portrange 80
　　　end


　local in policy 1 および 2 では、「HTTPS HTTP」の代わりにこれらのオブジェクトを使用します。
　trusthost 機能は、すべての GUI ユーザーが設定されている場合にのみ、上記のlocal in policyと同じ
　効果を発揮することに注意してください。
　したがって、上記のlocal in policyが推奨される回避策となります。

■補足情報
次のログエントリはIOC（攻撃ログ）の可能性があります。

ランダム スクリプトと dstip を含む次のログイン アクティビティ ログ:
type="event" subtype="system" level="information" vd="root" logdesc="Admin login successful" sn="1733486785" user="admin" ui="jsconsole" method="jsconsole" srcip=1.1.1.1 dstip=1.1.1.1 action="login" status="success" reason="none" profile="super_admin" msg="Administrator admin logged in successfully from jsconsole"

ランダムに生成されたユーザー名とソース IP を含む次の管理者作成ログ:
type="event" subtype="system" level="information" vd="root" logdesc="Object attribute configured" user="admin" ui="jsconsole(127.0.0.1)" action="Add" cfgtid=1411317760 cfgpath="system.admin" cfgobj="vOcep" cfgattr="password[*]accprofile[super_admin]vdom[root]" msg="Add system.admin vOcep"

上記のログでは、攻撃者が主に使用している IP アドレスは次のとおりでした:
1.1.1.1
127.0.0.1
2.2.2.2
8.8.8.8
8.8.4.4

上記の IP パラメータは攻撃者の制御下にあるため、他の IP アドレスになる可能性があることに注意してください。
また、sn と cfgtid は攻撃とは関係ないことにも注意してください。

観察したケースで脅威アクター（TA：攻撃者）が実行した操作は、以下の一部またはすべてでした。
- ランダムなユーザー名でデバイスに管理者アカウントを作成する
- ランダムなユーザー名でデバイスにローカル ユーザー アカウントを作成する
- ユーザー グループを作成するか、上記のローカル ユーザーを既存の sslvpn ユーザー グループに追加する
- その他の設定 (ファイアウォール ポリシー、ファイアウォール アドレスなど) を追加/変更する
- 上記のローカル ユーザーを追加して sslvpn にログインし、内部ネットワークへのトンネルを取得する

脅威アクター によって作成された管理者またはローカル ユーザーはランダムに生成されます。
例:
Gujhmk
Ed8x4k
G0xgey
Pvnw81
Alg7c4
Ypda8a
Kmi8p4
1a2n6t
8ah1t6
M4ix9f
...etc...

さらに、脅威アクター は次の IP アドレスを使用していることが確認されています。
45.55.158.47 [最もよく使用される IP アドレス]
87.249.138.47
155.133.4.175
37.19.196.65
149.22.94.37


本内容は2025年1月15日8:00時点の内容です。最新の情報は以下のリンク先にてご確認ください。
■Authentication bypass in Node.js websocket module
https://www.fortiguard.com/psirt/FG-IR-24-535