FortiOS/FortiProxyにおけるFortiCloud SSO連携の認証バイパス脆弱性(CVE-2024-55591)への対策

Tech

本記事はGeminiの出力をプロンプト工学で整理した業務ドラフト(未検証)です。

FortiOS/FortiProxyにおけるFortiCloud SSO連携の認証バイパス脆弱性(CVE-2024-55591)への対策

【脅威の概要と背景】

2025年1月判明のCVE-2024-55591は、FortiCloud SSO連携時に未認証で管理者権限の奪取を可能にする脆弱性です。

インターネット上に公開されている多くのFortinet製品(FortiOSおよびFortiProxy)が本脆弱性の影響を受ける可能性があり、CVSS v3スコアは最高値に近い「9.8(Critical)」と評価されています。攻撃者が特別な権限を持たずに、細工したリクエストを管理インターフェースに送信することで認証を完全にバイパスし、デバイスのフルコントロール(管理者権限)を奪取する恐れがあります。


【攻撃シナリオの可視化】

graph TD
    Attacker["攻撃者"] -->|1. 細工したHTTPSリクエストを送信| Target["FortiOS / FortiProxy 管理インターフェース"]
    Target -->|2. FortiCloud SSO認証ロジックの不備を悪用| AuthBypass{"認証バイパス成功"}
    AuthBypass -->|3. スーパー管理者セッションを確立| AdminAccess["デバイスの完全な制御権を獲得"]
    AdminAccess -->|4. 設定改ざん / VPNパスワード奪取 / 内部侵入| InternalNetwork["社内ネットワーク・資産の侵害"]

攻撃シナリオ解説

  1. 初期アクセス: 攻撃者は shodan や Censys 等の外部スキャンツールを用い、管理ポート(デフォルト:HTTPS 443 または 10443)がインターネットに公開されている標的デバイスを特定します。

  2. 脆弱性の悪用: FortiCloud SSO(シングルサインオン)のハンドシェイク処理における検証不備(CVE-2024-55591)を突く、細工されたHTTPヘッダーを含むリクエストを送信します。

  3. 権限昇格: デバイスは攻撃者を正規の「FortiCloud経由の管理者」として誤認し、認証をバイパスして管理者(Super_Admin)セッションを払い出します。

  4. 内部侵害: 攻撃者は config のエクスポート、管理者アカウントの追加、認証情報の窃取を行い、さらに内部ネットワークへ横展開(ラテラルムーブメント)を開始します。


【安全な実装と設定】

本脆弱性の根本原因は、FortiCloud SSO認証連携処理の論理的欠陥にあります。最善の対策はファームウェアのアップデートですが、即時の適用が困難なシステムに向けて、暫定的な「セキュアな設定構成」を以下に示します。

脆弱な設定例(FortiOS CLI)

管理インターフェース(HTTPS)がWAN側(インターネット全体)に解放されており、かつFortiCloud SSOによる管理者ログインが有効化されている状態です。

# 脆弱な設定:任意のIPから管理画面へアクセス可能

config system interface
    edit "wan1"
        set allowaccess ping https ssh
    next
end

# FortiCloud SSOによる管理者ログインが制限なしに有効

config system global
    set forticloud-sso-admin enable
end

安全な代替案(FortiOS CLI)

ファームウェアのアップグレードを行うまでの間、「管理アクセスのソースIP制限(Trusted Hosts)」および「FortiCloud SSO管理者ログインの無効化(可能な場合)」を実施して攻撃面を最小化します。

# 対策1:管理インターフェースへのアクセスを特定のIPセグメント(社内LANや専用VPNなど)のみに制限

config system admin
    edit "admin"
        set trusthost1 192.168.10.0 255.255.255.0
        set trusthost2 203.0.113.50 255.255.255.255  # 固定の踏み台サーバーIP等
    next
end

# 対策2:不要な場合はFortiCloud SSO経由の管理者ログインを無効化(ローカル認証や個別SAMLに限定)

config system global
    set forticloud-sso-admin disable
end

# 対策3:WANインターフェースにおける「HTTPS」管理アクセスの無効化

config system interface
    edit "wan1"
        set allowaccess ping  # https と ssh を除外
    next
end

【検出と緩和策】

EDR / SIEM での検知ポイント

FortiOSのイベントログおよびSyslogにおいて、以下のような不審な挙動がないか相関分析ルールを定義します。

  1. 通常と異なる認証ログ:

    • logdesc="Admin login successful"(管理者ログイン成功)でありながら、method="forticloud-sso"(または sso 関連のパラメータ)が記録されており、かつ送信元IP(ui)が未知の海外IPやホスティングプロバイダのものである場合。
  2. 短時間での管理者作成/設定変更:

    • ログイン成功直後に logdesc="Group/User configuration changed"(管理者アカウントの追加)や logdesc="Command run"(意図しないCLIコマンド実行)が記録されている場合。

応急的な緩和策(Workaround)

  1. Local-in Policyによるブロック: インターネットから管理ポート(例: TCP/10443)へのアクセスを、インフラストラクチャの Local-in Policy を用いて最外周で完全に遮断します。

  2. 管理ポートの変更: デフォルトポート(443/10443)から、ランダムな高位ポートへ変更します(※セキュリティ・バイ・オブスキュリティに過ぎないため、一時的なノイズ軽減策として併用してください)。


【実務上の落とし穴】

1. 誤検知(False Positive)のリスク

FortiCloud SSOを正当に業務で利用している組織において、急激なアクセス元制限やSSOの強制無効化を行うと、正規の運用管理者も管理画面にアクセスできなくなる(締め出される)リスクがあります。特にリモートワーク中の管理者が動的IPからアクセスしている場合、安易なIP制限は運用の麻痺を招きます。

2. 可用性とセキュリティのトレードオフ

「WAN側インターフェースでのHTTPS管理の無効化」は最も効果的な緩和策の一つですが、これを実行すると「現地拠点への物理アクセスやVPN経由でなければ機器の設定変更ができなくなる」という制限が生じます。メンテナンス窓口の確保と、エマージェンシー用の接続経路(セカンドラインVPNなど)が確保されているかを事前に必ず確認してください。


【まとめ】

組織のシステム管理者が直ちに確認・実施すべき3つの優先事項は以下の通りです。

  1. 露出状況の即時把握: 外部スキャン等を用いて、FortiOS / FortiProxy の管理画面がインターネットから「直接アクセス可能」になっていないかを確認する。

  2. アップデートの実施: Fortinetが提供する修正済みバージョン(FortiOS 7.0.16 / 7.2.12 / 7.4.6 以上など、該当製品のパッチ)へ速やかにアップグレードを適用する。

  3. アクセス制御の厳格化: アップグレードが完了するまでの間、管理制限(Trusted Hosts)を設定し、不要な管理者用SSO機能を無効化する。


参考文献

ライセンス:本記事のテキスト/コードは特記なき限り CC BY 4.0 です。引用の際は出典URL(本ページ)を明記してください。
利用ポリシー もご参照ください。

コメント

タイトルとURLをコピーしました