Fortinet 製 FortiManager に重要な機能に対する認証の欠如の脆弱性 | ScanNetSecurity
2025.10.04(土)

Fortinet 製 FortiManager に重要な機能に対する認証の欠如の脆弱性

 一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月25日、Fortinet製FortiManagerにおける重要な機能に対する認証の欠如の脆弱性(CVE-2024-47575)等に関する注意喚起を発表した。影響を受けるシステムは以下の通り。

脆弱性と脅威 セキュリティホール・脆弱性
595 views
facebookLINE

 一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月25日、Fortinet製FortiManagerにおける重要な機能に対する認証の欠如の脆弱性(CVE-2024-47575)等に関する注意喚起を発表した。影響を受けるシステムは以下の通り。

・CVE-2024-47575の脆弱性
FortiManager バージョン7.6.0
FortiManager バージョン7.4.0から7.4.4まで
FortiManager 7.2.0から7.2.7まで
FortiManager 7.0.0から7.0.12まで
FortiManager 6.4.0から6.4.14まで
FortiManager 6.2.0から6.2.12まで
FortiManager Cloud 7.4.1から7.4.4まで
FortiManager Cloud 7.2.1から7.2.7まで
FortiManager Cloud 7.0.1から7.0.12まで
FortiManager Cloud 6.4系のすべてのバージョン
※旧バージョンのFortiAnalyzer(1000E、1000F、2000E、3000E、3000F、3000G、3500E、3500F、3500G、3700F、3700G、3900E)も「FortiAnalyzer上のFortiManagerで「fmg-status」が有効である」「fgfmサービスが有効となっているインタフェースが1つ以上存在する」場合に本脆弱性の影響を受ける。

・CVE-2024-23113の脆弱性
FortiOS 7.4.0から7.4.2まで
FortiOS 7.2.0から7.2.6まで
FortiOS 7.0.0から7.0.13まで
FortiPAM 1.2系すべてのバージョン
FortiPAM 1.1系すべてのバージョン
FortiPAM 1.0系すべてのバージョン
FortiProxy 7.4.0から7.4.2まで
FortiProxy 7.2.0から7.2.8まで
FortiProxy 7.0.0から7.0.15まで
FortiSwitchManager 7.2.0から7.2.3まで
FortiSwitchManager 7.0.0から7.0.3まで
※FortiSwitchManagerについては、10月17日のアドバイザリ更新で追加

 Fortinetは現地時間10月23日に、FortiManagerにおける重要な機能に対する認証の欠如の脆弱性(CVE-2024-47575)に関するアドバイザリ(FG-IR-24-423)を公開しており、本脆弱性の悪用により認証されていない遠隔の第三者が細工されたリクエストを送信し、任意のコードまたはコマンドを実行する可能性があるという。

 なおFortinetでは、本脆弱性の悪用が報告されていることを公開しており、JPCERT/CCでも本脆弱性の悪用を示唆する情報を確認している。

 Fortinetでは対策として、本脆弱性を修正した下記バージョンへのアップグレードを推奨している。

・CVE-2024-47575の脆弱性
FortiManager 7.6.1およびそれ以降
FortiManager 7.4.5およびそれ以降
FortiManager 7.2.8およびそれ以降
FortiManager 7.0.13およびそれ以降
FortiManager 6.4.15およびそれ以降
FortiManager 6.2.13およびそれ以降
FortiManager Cloud 7.4.5およびそれ以降
FortiManager Cloud 7.2.8およびそれ以降
FortiManager Cloud 7.0.13およびそれ以降
FortiManager Cloud 6.4系 修正リリースに移行

・CVE-2024-23113の脆弱性
FortiOS バージョン7.4.3あるいはそれ以降
FortiOS バージョン7.2.7あるいはそれ以降
FortiOS バージョン7.0.14あるいはそれ以降
FortiProxy バージョン7.4.3あるいはそれ以降
FortiProxy バージョン7.2.9あるいはそれ以降
FortiProxy バージョン7.0.16あるいはそれ以降
FortiSwitchManager 7.2.4あるいはそれ以降
FortiSwitchManager 7.0.4あるいはそれ以降
FortiPAM 修正リリースに移行

 なおFortinetは本脆弱性の回避策を提供しており、JPCERT/CCでは修正済みバージョンの適用ができない場合、Fortinetが提供する情報を確認の上で、回避策の適用を検討するよう呼びかけている。

 JPCERT/CCではCVE-2024-47575について、Fortinetが提供する最新の情報などを参考に、脆弱性を悪用する攻撃の被害を受けていないか確認することを推奨しており、脆弱性を悪用された可能性を示すログが確認された場合、Fortinetでは、すべての管理対象デバイスの資格情報の速やかな変更を推奨している。

 警察庁でも10月29日に、「サイバー警察局便り」にてFortinet社製品の利用者にFortiManagerの脆弱性情報が公開された旨をアナウンスし、対策を呼びかけている。

《ScanNetSecurity》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. 業務目的外でパソコンを利用中に詐欺サイトに接続 ~ 委託事業者パソナの従業員

    業務目的外でパソコンを利用中に詐欺サイトに接続 ~ 委託事業者パソナの従業員

  2. ガートナー、2025 年版の日本におけるセキュリティのハイプ・サイクル発表

    ガートナー、2025 年版の日本におけるセキュリティのハイプ・サイクル発表

  3. 諭旨解雇処分 ~ 電気通信大学 准教授 共同研究先の企業に秘密を漏えい

    諭旨解雇処分 ~ 電気通信大学 准教授 共同研究先の企業に秘密を漏えい

  4. Microsoft が土壇場で譲歩 欧州 Windows 10 ユーザーだけに猶予措置

    Microsoft が土壇場で譲歩 欧州 Windows 10 ユーザーだけに猶予措置

  5. パソナの派遣社員が独立行政法人に関する情報を不正に持ち出し、削除の要請にも応じず

    パソナの派遣社員が独立行政法人に関する情報を不正に持ち出し、削除の要請にも応じず

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP