フォーティネットは、FortiOS と FortiProxy に影響を与える重大度の重大な欠陥を明らかにし、リモートの攻撃者が脆弱なデバイス上で任意のコードを実行できるようにしました。
サイバーセキュリティ企業 Watchtowr によって発見されたこの欠陥は CVE-2023-33308 として追跡されており、CVS v3 の評価は 10.0 点中 9.8 点で「緊急」と評価されています。
「FortiOS および FortiProxy のスタックベースのオーバーフローの脆弱性 [CWE-124] により、リモート攻撃者は、SSL ディープ パケット インスペクションと並行してプロキシ モードを使用するプロキシ ポリシーまたはファイアウォール ポリシーに到達する細工されたパケットを介して、任意のコードまたはコマンドを実行する可能性があります」とフォーティネットは警告しています。新しい勧告。
スタックベースのオーバーフローは、プログラムがスタック (メモリ領域) 上にあるバッファに割り当てられたデータよりも多くのデータを書き込み、その結果、隣接するメモリ位置にデータがオーバーフローするときに発生するセキュリティ問題です。
攻撃者は、バッファの容量を超える特別に細工した入力を送信して、関数に関連する重要なメモリ パラメータを上書きし、悪意のあるコードを実行することで、この種の欠陥を悪用する可能性があります。
この欠陥は次の FortiOS バージョンに影響します。
- FortiOS バージョン 7.2.0 ~ 7.2.3
- FortiOS バージョン 7.0.0 ~ 7.0.10
- FortiProxy バージョン 7.2.0 ~ 7.2.2
- FortiProxy バージョン 7.0.0 ~ 7.0.9
フォーティネットは、この問題は対応するアドバイザリのない以前のリリースで解決されたため、最新リリース ブランチである FortiOS 7.4 には影響しないことを明らかにしました。
CVE-2023-33308 の修正は、次のバージョンで提供されています。
- FortiOS バージョン 7.2.4 以降
- FortiOS バージョン 7.0.11 以降
- FortiProxy バージョン 7.2.3 以降
- FortiProxy バージョン 7.0.10 以降
フォーティネットのアドバイザリでは、6.0、6.2、6.4、2.x、および 1.x リリース ブランチの FortiOS 製品は CVE-2023-33308 の影響を受けないことが明らかにされています。
CISA もこの脆弱性に関する警告を発行し、影響を受ける組織に対して利用可能なセキュリティ更新プログラムを適用するよう促しています。
管理者が新しいファームウェアをすぐに適用できない場合、回避策としてプロキシ モードを使用して、プロキシ ポリシーまたはファイアウォール ポリシーで使用される SSL 検査プロファイルでHTTP/2 サポートを無効にできるとフォーティネットは述べています。
フォーティネットは、HTTP/2 サポートを無効にするカスタムディープインスペクション プロファイルの次の例を提供しています。
config firewall ssl-ssh-profile edit "custom-deep-inspection" set supported-alpn http1-1 next endフォーティネットのパッチラグ
CVE-2023-27997 として追跡されている別の FortiOS バッファ オーバーフローの脆弱性は、最近パッチ ラグの問題を浮き彫りにしました。
攻撃的なセキュリティ ソリューションを提供する Bishop Fox は、ベンダーが積極的に悪用されたバグに対する修正を公開してから 1 か月後、インターネット上に335,900 の脆弱な FortiGate ファイアウォールが公開されていることを発見したと報告しました。
脅威アクターは、貴重な企業ネットワークへの初期アクセスを取得する簡単な方法を提供するため、フォーティネット製品に影響を与える重大度の欠陥、特に悪用するために認証を必要としない欠陥を常に探しています。
とはいえ、FortiOS を実行している製品のユーザーと管理者は、ソフトウェア リリースをチェックして、安全なバージョンを実行していることを確認することをお勧めします。
Comments