CVSSv3スコアは9.3 FortiOSとFortiProxyに「緊急」の脆弱性

FortinetはFortiOSとFortiProxyの脆弱性を報告した。CVSSv3スコアは9.3で深刻度「緊急」に分類されているため、早急なアップデートの適用が必要だ。

[後藤大地，有限会社オングス]

　Fortinetは2023年3月7日（現地時間）、「FortiOS」と「FortiProxy」に脆弱（ぜいじゃく）性が存在すると伝えた。

　これを悪用すると、リモートから任意のコードを実行したり、GUI上でサービス運用妨害（DoS：Denial of Service）を引き起こしたりできるため注意が必要だ。深刻度は「緊急」（Critical）とされており、該当製品を使用している場合は迅速にアップデートを適用することが求められる。

FortinetはFortiOSとFortiProxyに脆弱性が存在すると伝えた（出典：FortinetのWebサイト）

CVSSv3スコアは9.3　即時対応を

　脆弱性の影響を受けるバージョンは以下の通りだ。

• FortiOS 7.2.0から7.2.3までのバージョン
• FortiOS 7.0.0から7.0.9までのバージョン
• FortiOS 6.4.0から6.4.11までのバージョン
• FortiOS 6.2.0から6.2.12までのバージョン
• FortiOS 6.0系全てのバージョン
• FortiProxy 7.2.0から7.2.2までのバージョン
• FortiProxy 7.0.0から7.0.8までのバージョン
• FortiProxy 2.0.0から2.0.11までのバージョン
• FortiProxy 1.2系全てのバージョン
• FortiProxy 1.1系全てのバージョン

　脆弱性が修正されたバージョンは以下の通りだ。

• FortiOS 7.4.0およびこれ以降のバージョン
• FortiOS 7.2.4およびこれ以降のバージョン
• FortiOS 7.0.10およびこれ以降のバージョン
• FortiOS 6.4.12およびこれ以降のバージョン
• FortiOS 6.2.13およびこれ以降のバージョン
• FortiProxy 7.2.3およびこれ以降のバージョン
• FortiProxy 7.0.9およびこれ以降のバージョン
• FortiProxy 2.0.12およびこれ以降のバージョン
• FortiOS-6K7K 7.0.10およびこれ以降のバージョン
• FortiOS-6K7K 6.4.12およびこれ以降のバージョン
• FortiOS-6K7K 6.2.13およびこれ以降のバージョン

　FortiOSを使っている場合、HTTP／HTTPS管理インタフェースを無効化するか、管理インタフェースにアクセス可能なIPアドレスを制限することで影響を緩和できる。

　今回見つかった脆弱性は「CVE-2023-25610」として特定されており、脆弱性の深刻度は共通脆弱性評価システム（CVSS）v3スコアで9.3と評価されている。該当製品を使用している場合は迅速にアップデートしてほしい。