サイバーセキュリティ ソリューション企業フォーティネットは、攻撃者がコードやコマンドを実行するために悪用する可能性がある重大度の脆弱性に対処するために、ゼロトラスト アクセス ソリューション FortiNAC をアップデートしました。
FortiNAC を使用すると、組織はネットワーク全体のアクセス ポリシーを管理し、デバイスとユーザーを可視化し、不正なアクセスや脅威からネットワークを保護できます。
このセキュリティ問題は CVE-2023-33299 として追跡され、重大度スコア 10 点中 9.6 を受け取りました。これは、認証なしのリモート コード実行 (RCE) につながる可能性がある信頼できないデータの逆シリアル化です。
この欠陥の影響を受ける製品は次のとおりです。
- FortiNAC バージョン 9.4.0 ~ 9.4.2
- FortiNAC バージョン 9.2.0 ~ 9.2.7
- FortiNAC バージョン 9.1.0 ~ 9.1.9
- FortiNAC バージョン 7.2.0 ~ 7.2.1
- FortiNAC 8.8、すべてのバージョン
- FortiNAC 8.7、すべてのバージョン
- FortiNAC 8.6、すべてのバージョン
- FortiNAC 8.5、すべてのバージョン
- FortiNAC 8.3、すべてのバージョン
脆弱性から生じるリスクに対処するためにアップグレードする推奨バージョンは次のとおりです。
- FortiNAC 9.4.3 以降
- FortiNAC 9.2.8以降
- FortiNAC 9.1.10以降
- FortiNAC 7.2.2 以降
ベンダーは軽減策のアドバイスを提供していないため、推奨されるアクションは、利用可能なセキュリティ更新プログラムを適用することです。
CVE-2023-33299 は、レッド チーム、ペネトレーション テスト、脅威インテリジェンス サービスを提供する Code White 社の Florian Hauser によって発見されました。
重要な RCE とともに、フォーティネットは本日、CVE-2023-33300 として追跡されている中重大度の脆弱性を修正したことも発表しました。これは、FortiNAC 9.4.0 ~ 9.4.3 および FortiNAC 7.2.0 ~ 7.2.1 に影響を与える不適切なアクセス制御の問題です。
重大度が低いのは、コピーされたデータにアクセスする十分な権限を持つ攻撃者によって CVE-2023-33300 がローカルで悪用される可能性があるためです。
遅滞なく更新する
ネットワーク上のアクセスと制御のレベルにより、フォーティネット製品はハッカーにとって特に魅力的です。過去数年間、フォーティネットのデバイスは、ゼロデイ エクスプロイトやパッチが適用されていないデバイスへの攻撃によって組織に侵入するさまざまな攻撃者の標的となってきました。
最近の例はCVE-2022-39952です。これは FortiNAC に影響を与える重要な RCE で、2 月中旬に修正が提供されましたが、概念実証コードが公開された数日後、 ハッカーが攻撃に使用し始めました。
フォーティネットは 1 月、修正版が利用可能になる前に、攻撃者が FortiOS SSL-VPN の脆弱性 ( CVE-2022-42475 ) を悪用して政府機関に対する攻撃を行ったと警告しました。
昨年 10 月、同社は、ハッカーが悪用し始めたため、FortiOS、FortiProxy、FortiSwitchManager の重要な認証バイパス ( CVE-2022-40684 ) に対してデバイスにパッチを適用するよう顧客に呼び掛けました。
Comments