Fortigateに穴あった
FortigateというFirewallの機器がありますよね。
私の家にはないし、学んでるのはCisco機器なのでさわったことはないんですが
Fortigateをネットワークの入口に置いておけばルーターもセキュリティもなんでもかんでもやってくれる、
専用チップでコスパも最高、というのでめっちゃ普及してるという。
世界的にもめっちゃあるそんなFortigate製品にCVSS9.4の危ねえリスクがあるというニュース出てました。
Fortinet Patches CVE-2026-24858 After Active FortiOS SSO Exploitation Detected
シングルサインオンを使って裏口から入れてしまう
Fortigate買ったら「製品登録してね」というのが出るそうなんですけど、
その中に「FortiOS(FortigateらのOS)のシングルサインオンを許可したくない人はチェックを」という項目があるらしいんです。
バーっと急いで製品登録したらシングルサインオン許可になっちゃう。
Googleとかで入ったら、他のサイトも「あ、GoogleのそのアカウントならOKっすね」となるやつ。
これがセキュリティ上めっちゃよくないんですって。
他のFortiOSのシングルサインオン作ってる人も(裏口からなら)入れちゃうらしいんですよ。
"An Authentication Bypass Using an Alternate Path or Channel vulnerability [CWE-288] in FortiOS, FortiManager, FortiAnalyzer may allow an attacker with a FortiCloud account and a registered device to log into other devices registered to other accounts, if FortiCloud SSO authentication is enabled on those devices," Fortinet said in an advisory released Tuesday.
AKBコンサート会場だとしても駐車場口とかの警備員なら
「あ、それはチケットですね、チケットぴあって書いてますもんね、どうぞ入ってください」
って入れてしまう、みたいなことですよね。
たとえそれが矢沢永吉のチケットだったとしても。
たとえその人がリーゼントだとしても、赤いタオルをぶら下げて、なんなら振り回していても
「あ、チケットですね」
になってしまうと。
だからOpt-outは嫌われる
なにがあかんのかというと悪名高い「Opt-out」の仕組みだろうと。
「無料期間が終わった後に引き続きAudibleに登録しない方はチェックをお願いします」
とか傘のTwitter持ち(刺さるやつ)くらい嫌われますよね。
たとえにたとえを重ねてしまいましたが、やっぱりOpt-outは嫌われる。
でもそんなOpt-outですが、あえて悪さをしてる可能性はないでしょうか。
実は真相はこうなんです。
- Opt-inが「どうぞお茶とお菓子を食べていってください…」と村人を歓待しようとしたが誰も来なかった
- それを見かねたOpt-outが「ぼくにいい考えがある」と暴れ回り、Opt-inに自分を退治させた
- そうして村人たちはOpt-inのもとに遊びにいくようになった
そんな泣いたOpt-outという昔話になってるので知ってる方も多いのではないでしょうか。
そんなことよりどうしたらいいか教えてくれ、というFortigateユーザーの皆様、記事はご注意で締めくくられています
Ensure the device is running the latest firmware version
Restore configuration with a known clean version or audit for any unauthorized changes
Rotate credentials, including any LDAP/AD accounts that may be connected to the FortiGate devices
- ファームウェア最新にして
- 設定をこれなら大丈夫っていうバージョンに戻して、認証で知らんやつ削って、認証情報も入れ替えて、LDAP/ADアカウントもだよ
ということだそう。
今日も勉強になりました…勉強楽しい期間中です、私。
教えたいことあったらぶらさげといてください。喜びます。