Fortinet、FortiCloud SSO認証バイパスの積極的悪用を警告 – パッチ適用済みデバイスも影響
FortinetがFortiCloud SSO認証システムの脆弱性を悪用した攻撃を確認。パッチ適用済みデバイスでも認証バイパスが可能なリスクと対策を解説。
Fortinet、FortiCloud SSO認証バイパスの積極的悪用を確認
Fortinetは、攻撃者が同社のFortiCloudシングルサインオン(SSO)認証システムの脆弱性を積極的に悪用していることを確認しました。この脆弱性により、攻撃者はセキュリティパッチが適用されたデバイスであっても認証制御をバイパスできる可能性があります。
Fortinetは、FortiCloud SSOログインメカニズムを標的とした進行中の攻撃報告を受け、警告を発しました。現時点では、脆弱性に関する具体的な技術的詳細は公開されていませんが、攻撃の手法はFortinet製品で最近報告された認証バイパスの欠陥と類似していると見られています。
技術的詳細と攻撃ベクトル
現在、Fortinetはこの脆弱性に対するCVE識別子を公開していません。しかし、セキュリティ研究者によると、攻撃ベクトルはこれまでに公開されたFortiCloud SSOの欠陥と類似しており、以下のような手法が含まれると考えられます:
- 認証トークンやセッション管理メカニズムの操作
- SSOログインリクエストにおける不適切な入力検証の悪用
- 多要素認証(MFA)保護のバイパス
パッチが適用されたデバイスでも脆弱性が残るという事実は、次のいずれかを示唆しています:
- SSO実装における新たな未修正の脆弱性、または
- 攻撃者が以前に軽減された脆弱性の設定ミスや残存する弱点を悪用している。
影響分析
この脆弱性が悪用されると、認証されていない攻撃者が以下の行為を行う可能性があります:
- Fortinet管理インターフェースへの不正アクセス
- FortiCloud環境内での権限昇格
- 接続されたFortinetデバイスやサービス間での横方向移動(ラテラルムーブメント)
- 機密データの窃取や追加の悪意あるペイロードの展開
Fortinetは企業や政府機関のネットワークで広く利用されているため、FortiCloudを中央集権的な認証やデバイス管理に依存している組織にとって、この脆弱性は重大なリスクをもたらします。
緩和策と推奨事項
Fortinetは、この脆弱性に対する公式なパッチやアドバイザリをまだ公開していません。しかし、セキュリティチームは以下の対策を講じることが推奨されます:
- FortinetのPSIRTアドバイザリを監視し、最新情報や公式ガイダンスを確認する(Fortinet PSIRT)。
- FortiCloudアクセスログを確認し、不審な認証試行や異常なアクティビティがないか調査する。
- 厳格なネットワークセグメンテーションを実施し、侵害が発生した場合のラテラルムーブメントを制限する。
- 追加の認証制御を導入する。例えば、FortiCloud SSOに対してIPホワイトリストや条件付きアクセスポリシーを適用する。
- 可能であればFortiCloud SSOを一時的に無効化し、パッチが提供されるまで手動認証を強制する。
SecurityWeekは、この状況の進展を引き続き監視し、技術的な詳細が明らかになり次第、更新情報を提供します。
原文レポート:Ionut Arghire(SecurityWeek)