Fortinetは米国時間1月15日、FortiOS」と「FortiProxy」で新たに見つかった認証回避の脆弱(ぜいじゃく)性「CVE-2024-55591」に関する情報と修正版を公開した。
同社によると、新たな脆弱性は代替パスもしくはチャネルを使用した認証を回避してしまう。悪用を狙う遠隔の攻撃者が細工したリクエストを「Node.js Websocket」モジュールに送り付けることで、特権管理者の権限を奪取する可能性があるという。共通脆弱性評価システム(CVSS)による評価(最大値10.0)は「9.6」となっている。
脆弱性の影響を受ける製品は、FortiOS 7.0.0~7.0.16と、FortiProxy 7.2.0~7.2.12および7.0.0~7.0.19。脆弱性の修正版は、FortiOS 7.0.17以上、FortiProxy 7.2.13以上、同7.0.20以上になる。
同社は、この脆弱性を悪用するサイバー攻撃の報告を受けたと説明し、対象製品の利用者に修正版のアップデートを適用するよう呼び掛けている。また、すぐに適用が難しい場合の脆弱性の影響を回避する方法として、(1)HTTP/HTTPS接続による管理インターフェースを無効化、(2)ローカルポリシーを使った管理インターフェイスへアクセス可能なIPアドレスの制限――の2つを推奨している。
