FortiNACにCVSSスコア9.6の脆弱性 迅速にアップデートを

Fortinetのネットワークアクセス制御ソリューション「FortiNAC」に深刻度「緊急」の脆弱性が見つかった。回避策などは提供されていないため、急ぎアップデートを適用してほしい。

[後藤大地，有限会社オングス]

　Fortinetは2023年6月23日（現地時間）、ネットワークアクセス制御ソリューション「FortiNAC」に、認証されていないユーザーによる不正コード実行や不正コマンド実行を可能にする深刻な脆弱（ぜいじゃく）性が存在すると報告した。

　既に修正済みバージョンがリリースされているが、回避策や緩和策は提供されていない。該当製品を使用している場合は迅速にアップデートを適用してほしい。

FortiGuard Labsが公開しているPSIRT Advisories（出典：FortinetのWebサイト）

FortiNACの脆弱性　深刻度はCVSS v3で9.6

　今回見つかった脆弱性は「CVE-2023-33299」として特定されており、Javaの信頼できないオブジェクトに対する逆シリアル化の処理が原因とされている。共通脆弱性評価システム（CVSS）v3のスコア値は9.6で深刻度「緊急」（Critical）に分類されている。

　脆弱性の影響を受けるバージョンは以下の通りだ。

• FortiNAC 9.4.0から9.4.2までのバージョン
• FortiNAC 9.2.0から9.2.7までのバージョン
• FortiNAC 9.1.0から9.1.9までのバージョン
• FortiNAC 7.2.0から7.2.1までのバージョン
• FortiNAC 8.8（全てのバージョン）
• FortiNAC 8.7（全てのバージョン）
• FortiNAC 8.6（全てのバージョン）
• FortiNAC 8.5（全てのバージョン）
• FortiNAC 8.3（全てのバージョン）

　脆弱性が修正されたバージョンは以下の通りだ。

• FortiNAC バージョン9.4.3またはこれ以降のバージョン
• FortiNAC バージョン9.2.8またはこれ以降のバージョン
• FortiNAC バージョン9.1.10またはこれ以降のバージョン
• FortiNAC バージョン7.2.2またはこれ以降のバージョン

　Fortinet製品の脆弱性はサイバー攻撃者に悪用されるケースが多く存在する。該当製品を使用している場合は迅速にアップデートを適用してほしい。