CVSSv3スコアは9.3　FortiOSとFortiProxyに「緊急」の脆弱性

FortinetはFortiOSとFortiProxyの脆弱性を報告した。CVSSv3スコアは9.3で深刻度「緊急」に分類されているため、早急なアップデートの適用が必要だ。

[後藤大地，有限会社オングス]

この記事は会員限定です。会員登録すると全てご覧いただけます。

　Fortinetは2023年3月7日（現地時間）、「FortiOS」と「FortiProxy」に脆弱（ぜいじゃく）性が存在すると伝えた。

　これを悪用すると、リモートから任意のコードを実行したり、GUI上でサービス運用妨害（DoS：Denial of Service）を引き起こしたりできるため注意が必要だ。深刻度は「緊急」（Critical）とされており、該当製品を使用している場合は迅速にアップデートを適用することが求められる。

FortinetはFortiOSとFortiProxyに脆弱性が存在すると伝えた（出典：FortinetのWebサイト）

　脆弱性の影響を受けるバージョンは以下の通りだ。

　脆弱性が修正されたバージョンは以下の通りだ。

　FortiOSを使っている場合、HTTP／HTTPS管理インタフェースを無効化するか、管理インタフェースにアクセス可能なIPアドレスを制限することで影響を緩和できる。

　今回見つかった脆弱性は「CVE-2023-25610」として特定されており、脆弱性の深刻度は共通脆弱性評価システム（CVSS）v3スコアで9.3と評価されている。該当製品を使用している場合は迅速にアップデートしてほしい。

GCPのアクセスログ機能に重大な欠陥　セキュリティベンダーが指摘
MitigaはGCPに重大なフォレンジックセキュリティ上の欠陥があると説明した。この欠陥によって、サイバー攻撃者がデータを窃取していてもそれを検出できないと指摘している。
Emotetが3カ月ぶりに活動再開　Officeマクロに要警戒
CofenseがEmotetの活動再開を伝えた。この3カ月間は休眠状態にあったが、2023年3月7日に活動の再開が観測された。請求書を模した悪意あるMicrosoft Officeファイルが使われており、注意が必要だ。予測稼働期間は現時点では不明だ。
ビジネス成果ベースでセキュリティを構築する6つのステップ
十分なセキュリティ対策を講じることを重視するあまり、スピーティなビジネスの実行に悪影響を及ぼしてしまえば本末転倒だ。ビジネス視点でセキュリティを構築するとはどういうことだろうか。WithSecureが提唱するアプローチを見てみよう。
CVSSスコア9.8のMicrosoft Wordの脆弱性　PoCが公開される
Bleeping ComputerがMicrosoft Wordにおける脆弱性のPoC公開について警戒を呼びかけた。これが悪用された場合は影響が広範囲に広がる可能性がある。