Fortinet 製 FortiManager に重要な機能に対する認証の欠如の脆弱性 | ScanNetSecurity
2025.12.24(水)

Fortinet 製 FortiManager に重要な機能に対する認証の欠如の脆弱性

 一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月25日、Fortinet製FortiManagerにおける重要な機能に対する認証の欠如の脆弱性(CVE-2024-47575)等に関する注意喚起を発表した。影響を受けるシステムは以下の通り。

脆弱性と脅威 セキュリティホール・脆弱性
597 views
facebookLINE

 一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月25日、Fortinet製FortiManagerにおける重要な機能に対する認証の欠如の脆弱性(CVE-2024-47575)等に関する注意喚起を発表した。影響を受けるシステムは以下の通り。

・CVE-2024-47575の脆弱性
FortiManager バージョン7.6.0
FortiManager バージョン7.4.0から7.4.4まで
FortiManager 7.2.0から7.2.7まで
FortiManager 7.0.0から7.0.12まで
FortiManager 6.4.0から6.4.14まで
FortiManager 6.2.0から6.2.12まで
FortiManager Cloud 7.4.1から7.4.4まで
FortiManager Cloud 7.2.1から7.2.7まで
FortiManager Cloud 7.0.1から7.0.12まで
FortiManager Cloud 6.4系のすべてのバージョン
※旧バージョンのFortiAnalyzer(1000E、1000F、2000E、3000E、3000F、3000G、3500E、3500F、3500G、3700F、3700G、3900E)も「FortiAnalyzer上のFortiManagerで「fmg-status」が有効である」「fgfmサービスが有効となっているインタフェースが1つ以上存在する」場合に本脆弱性の影響を受ける。

・CVE-2024-23113の脆弱性
FortiOS 7.4.0から7.4.2まで
FortiOS 7.2.0から7.2.6まで
FortiOS 7.0.0から7.0.13まで
FortiPAM 1.2系すべてのバージョン
FortiPAM 1.1系すべてのバージョン
FortiPAM 1.0系すべてのバージョン
FortiProxy 7.4.0から7.4.2まで
FortiProxy 7.2.0から7.2.8まで
FortiProxy 7.0.0から7.0.15まで
FortiSwitchManager 7.2.0から7.2.3まで
FortiSwitchManager 7.0.0から7.0.3まで
※FortiSwitchManagerについては、10月17日のアドバイザリ更新で追加

 Fortinetは現地時間10月23日に、FortiManagerにおける重要な機能に対する認証の欠如の脆弱性(CVE-2024-47575)に関するアドバイザリ(FG-IR-24-423)を公開しており、本脆弱性の悪用により認証されていない遠隔の第三者が細工されたリクエストを送信し、任意のコードまたはコマンドを実行する可能性があるという。

 なおFortinetでは、本脆弱性の悪用が報告されていることを公開しており、JPCERT/CCでも本脆弱性の悪用を示唆する情報を確認している。

 Fortinetでは対策として、本脆弱性を修正した下記バージョンへのアップグレードを推奨している。

・CVE-2024-47575の脆弱性
FortiManager 7.6.1およびそれ以降
FortiManager 7.4.5およびそれ以降
FortiManager 7.2.8およびそれ以降
FortiManager 7.0.13およびそれ以降
FortiManager 6.4.15およびそれ以降
FortiManager 6.2.13およびそれ以降
FortiManager Cloud 7.4.5およびそれ以降
FortiManager Cloud 7.2.8およびそれ以降
FortiManager Cloud 7.0.13およびそれ以降
FortiManager Cloud 6.4系 修正リリースに移行

・CVE-2024-23113の脆弱性
FortiOS バージョン7.4.3あるいはそれ以降
FortiOS バージョン7.2.7あるいはそれ以降
FortiOS バージョン7.0.14あるいはそれ以降
FortiProxy バージョン7.4.3あるいはそれ以降
FortiProxy バージョン7.2.9あるいはそれ以降
FortiProxy バージョン7.0.16あるいはそれ以降
FortiSwitchManager 7.2.4あるいはそれ以降
FortiSwitchManager 7.0.4あるいはそれ以降
FortiPAM 修正リリースに移行

 なおFortinetは本脆弱性の回避策を提供しており、JPCERT/CCでは修正済みバージョンの適用ができない場合、Fortinetが提供する情報を確認の上で、回避策の適用を検討するよう呼びかけている。

 JPCERT/CCではCVE-2024-47575について、Fortinetが提供する最新の情報などを参考に、脆弱性を悪用する攻撃の被害を受けていないか確認することを推奨しており、脆弱性を悪用された可能性を示すログが確認された場合、Fortinetでは、すべての管理対象デバイスの資格情報の速やかな変更を推奨している。

 警察庁でも10月29日に、「サイバー警察局便り」にてFortinet社製品の利用者にFortiManagerの脆弱性情報が公開された旨をアナウンスし、対策を呼びかけている。

《ScanNetSecurity》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. 元アクセンチュア幹部、米陸軍クラウドの安全基準達成を偽装し監査をあざむく

    元アクセンチュア幹部、米陸軍クラウドの安全基準達成を偽装し監査をあざむく

  2. バンダイチャンネルへの不正アクセス、最大 136.6 万件の会員情報漏えいの可能性

    バンダイチャンネルへの不正アクセス、最大 136.6 万件の会員情報漏えいの可能性

  3. ネットワーク機器を経由してサーバに侵入 埼玉県商工会連合会にランサムウェア攻撃

    ネットワーク機器を経由してサーバに侵入 埼玉県商工会連合会にランサムウェア攻撃

  4. 金沢工業大学「情報セキュリティ・スキルアッププロジェクト」高市内閣総理大臣から表彰

    金沢工業大学「情報セキュリティ・スキルアッププロジェクト」高市内閣総理大臣から表彰

  5. 給与計算クラウドをネタにメール訓練実施 → サービス元がフィッシング注意喚起を発令

    給与計算クラウドをネタにメール訓練実施 → サービス元がフィッシング注意喚起を発令

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP