The Hacker Newsは4月8日(現地時間)、「Fortinet Urges FortiSwitch Upgrades to Patch Critical Admin Password Change Flaw」において、Fortinetのイーサネットスイッチ「FortiSwitch」から緊急の脆弱性が発見されたと報じた。

この脆弱性を悪用されると、認証されていないリモートの攻撃者に管理者パスワードを変更される可能性がある。

  • Fortinet Urges FortiSwitch Upgrades to Patch Critical Admin Password Change Flaw

    Fortinet Urges FortiSwitch Upgrades to Patch Critical Admin Password Change Flaw

脆弱性に関する情報

脆弱性の情報(CVE)は次のとおり。

  • CVE-2024-48887 - FortiSwitchに認証のないパスワード変更の脆弱性。認証されていないリモートの攻撃者は、特別に細工したリクエストを送信することで管理者パスワードを変更できる可能性がある(CVSSスコア: 9.3)

脆弱性に関する情報は次のページにまとまっている。

脆弱性が存在する製品

脆弱性が存在する製品およびバージョンは次のとおり。

  • FortiSwitch 7.6.0
  • FortiSwitch 7.4.0から7.4.4までのバージョン
  • FortiSwitch 7.2.0から7.2.8までのバージョン
  • FortiSwitch 7.0.0から7.0.10までのバージョン
  • FortiSwitch 6.4.0から6.4.14までのバージョン

脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

  • FortiSwitch 7.6.1およびこれ以降のバージョン
  • FortiSwitch 7.4.5およびこれ以降のバージョン
  • FortiSwitch 7.2.9およびこれ以降のバージョン
  • FortiSwitch 7.0.11およびこれ以降のバージョン
  • FortiSwitch 6.4.15およびこれ以降のバージョン

対策

この脆弱性はFortinetのFortiSwitch web UI開発チームにより発見された。同社はアップデートできないユーザーに対し、次の回避策の実施を推奨している。

  • 管理インタフェースからのHTTP/HTTPSアクセスを無効にする
  • システムへのアクセスを信頼できるホストに制限する

Fortinet製品の脆弱性はサイバー攻撃に悪用された事例が複数報告されており、脅威アクターの恰好の的となっている。この脆弱性が悪用されたとの報告は確認されていないが、当該製品の管理者には速やかな回避策の実施またはアップデートが推奨されている。