Fortinet

Fortinet は、FortiOS および FortiProxy に影響を与える「重大」な脆弱性を公開しました。これにより、認証されていない攻撃者が、特別に細工されたリクエストを使用して、脆弱なデバイスの GUI で任意のコードを実行したり、サービス拒否 (DoS) を実行したりできるようになります。

このバッファ アンダーフローの脆弱性は CVE-2023-25610 として追跡されており、CVSS v3 スコアは 9.3 で、重大と評価されています。このタイプの欠陥は、プログラムがメモリ バッファから利用可能なデータよりも多くのデータを読み込もうとしたときに発生し、隣接するメモリ ロケーションにアクセスして、危険な動作やクラッシュを引き起こします。

Fortinet が昨日公開したセキュリティ アドバイザリによると、現時点で実際に悪用されている事例は確認されておらず、影響を受ける製品は次のとおりです。

  • FortiOS バージョン 7.2.0 から 7.2.3
  • FortiOS バージョン 7.0.0 から 7.0.9
  • FortiOS バージョン 6.4.0 から 6.4.11
  • FortiOS バージョン 6.2.0 から 6.2.12
  • FortiOS 6.0、すべてのバージョン
  • FortiProxy バージョン 7.2.0 から 7.2.2
  • FortiProxy バージョン 7.0.0 から 7.0.8
  • FortiProxy バージョン 2.0.0 から 2.0.11
  • FortiProxy 1.2、すべてのバージョン
  • FortiProxy 1.1、すべてのバージョン

CVE-2023-25610 の脆弱性を修正するターゲット アップグレード バージョンは次のとおりです。

  • FortiOS バージョン 7.4.0 以降
  • FortiOS バージョン 7.2.4 以降
  • FortiOS バージョン 7.0.10 以降
  • FortiOS バージョン 6.4.12 以降
  • FortiOS バージョン 6.2.13 以降
  • FortiProxy バージョン 7.2.3 以降
  • FortiProxy バージョン 7.0.9 以降
  • FortiProxy バージョン 2.0.12 以降
  • FortiOS-6K7K バージョン 7.0.10 以降
  • FortiOS-6K7K バージョン 6.4.12 以降
  • FortiOS-6K7K バージョン 6.2.13 以降

Fortinet によると、セキュリティ速報に記載されている 50 のデバイス モデルは、脆弱な FortiOS バージョンを実行している場合でも、欠陥の任意のコード実行コンポーネントの影響を受けず、サービス拒否の部分のみに影響を受けるとのことです。

アドバイザリに記載されていないデバイス モデルは両方の問題に対して脆弱であるため、管理者は利用可能なセキュリティ更新プログラムをできるだけ早く適用する必要があります。

アップデートを適用できない場合、Fortinet は、HTTP/HTTPS 管理インターフェースを無効にするか、リモートでアクセスできる IP アドレスを制限するという回避策を提案しています。

デフォルト以外のポートを使用する場合もカバーする回避策の適用方法については、セキュリティ アドバイザリに記載されています。

攻撃者は、企業ネットワークへの初期アクセスを取得する方法を提供するフォーティネット製品、特に悪用するのに認証を必要としない製品に影響を与える重大な欠陥に注意を払っています。このため、この脆弱性を迅速に緩和することが不可欠です。

たとえば、2 月 16 日、 フォーティネットは、FortiNAC および FortiWeb 製品に影響を与える 2 つの重大なリモート コード実行の欠陥を修正し、ユーザーにセキュリティ アップデートをすぐに適用するよう呼びかけました。

脆弱性を利用するための有効な概念実証エクスプロイトがわずか 4 日後に公開され、2023 年 2 月 22 日に実際のエクスプロイトが開始されました。