VPN設定の不正変更も CISA、Fortinet製品の認証バイパス脆弱性に関するガイダンスを公開：以前の脆弱性に対応済みでも悪用の恐れ

米国CISAは、Fortinet製品における認証バイパス脆弱性「CVE-2026-24858」が悪用されているとして注意喚起を行った。影響範囲は複数製品に及び、早急な対策が求められるという。

[＠IT]

　米国国土安全保障省サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は2026年1月28日（米国時間）、Fortinet製品における認証バイパス脆弱（ぜいじゃく）性「CVE-2026-24858」の悪用に関するガイダンスを公開した。CISAは1月27日にこの脆弱性を「Known Exploited Vulnerabilities（KEV）Catalog」（既知の悪用が確認された脆弱性リスト）に追加している。

脆弱性の概要

　CVE-2026-24858は、共通脆弱性タイプ「Common Weakness Enumeration（CWE）-288」（代替パスまたはチャネルを使用した認証バイパス）に分類される脆弱性だ。「FortiCloud」アカウントと登録済みデバイスを持つ攻撃者が、「FortiCloud SSO」（シングルサインオン）が有効になっている場合に、他のユーザーが登録した別のデバイスに不正にログインできてしまう可能性がある。

　影響を受ける製品は以下の通り。

• OS「FortiOS」
• アプライアンス製品「FortiManager」
• Webアプリケーションファイアウォール（WAF）「FortiWeb」
• セキュアWebゲートウェイ「FortiProxy」
• セキュリティ分析ツール「FortiAnalyzer」

以前の脆弱性との関係

　ユーザーは、以前公開されたFortiCloud SSOバイパス脆弱性「CVE-2025-59718」および「CVE-2025-59719」に対応するアップデートを適用済みであっても、CVE-2026-24858に対しては脆弱だ。

　CVE-2025-59718とCVE-2025-59719は、FortiOS、FortiWeb、FortiProxy、イーサネットスイッチ「FortiSwitch Manager」に影響し、細工されたSAML（Security Assertion Markup Language）メッセージを介してSSOログイン認証をバイパスできる脆弱性だった。

確認された悪意ある活動

　CVE-2025-59718およびCVE-2025-59719に対応した最新版にアップグレード済みのFortinetデバイスでも、CVE-2026-24858の悪用によって以下の悪意ある活動が観察されている。

• UTM（統合脅威管理）製品「FortiGate」デバイスでの不正なファイアウォール設定変更
• 不正なアカウント作成
• 新規アカウントへのアクセスを許可するVPN（仮想プライベートネットワーク）設定の不正変更

FortinetはSSO機能を一時無効化

　Fortinetによると、2026年1月26日に脆弱性を緩和するためFortiCloud SSO認証を一時的に全面無効化し、1月27日に脆弱なデバイスの悪用を防ぐ変更を加えてサービスを復旧した。

　CISAは、この脆弱性の影響を受けるインターネットアクセス可能な全てのFortinet製品で侵害の兆候を確認し、Fortinetの指示に従ってアップデートが公開され次第直ちに適用するよう呼び掛けている。