約33万のFortinet製SSL VPNインタフェースが脆弱性を放置している

Fortinetは2023年6月にFortiOSに存在するヒープバッファーオーバーフローの脆弱性に対処したアップデートの提供を開始した。しかし1カ月たってもアップデートの適用状況は好ましくない。

[後藤大地，有限会社オングス]

　セキュリティ企業のBishop Foxは2023年6月30日（現地時間）、Fortinetが同年6月に配信した「FortiOS」の脆弱（ぜいじゃく）性に対処したアップデートの適用状況について調査結果を公開した。

　Bishop Foxの調査によると、インターネットに公開されている49万個のFortiOSのSSL VPNインタフェースのうち、69％にパッチが適用されていないことが判明したという。

約33万のSSL VPNインタフェースにパッチが未適用となっていることが明らかになった（出典：Bishop FoxのWebサイト）

約33万のSSL VPNインタフェースがパッチ未適用

　今回問題になっているのは、FortiOSに存在するヒープバッファーオーバーフローの脆弱性で、CVE-2023-27997として特定されている。CVE-2023-27997はCVSS v3.1のスコア値が9.2で深刻度「緊急」（Critical）に分類される。Bishop Foxはこの脆弱性に関するエクスプロイトを開発しており、これを使うと未認証のユーザーによるリモートコード実行が可能になると説明している。

　脆弱性が存在するバージョンは以下の通りだ。

• FortiOS-6K7K バージョン7.0.10
• FortiOS-6K7K バージョン7.0.5
• FortiOS-6K7K バージョン6.4.12
• FortiOS-6K7K バージョン6.4.10
• FortiOS-6K7K バージョン6.4.8
• FortiOS-6K7K バージョン6.4.6
• FortiOS-6K7K バージョン6.4.2
• FortiOS-6K7K バージョン6.2.9から6.2.13まで
• FortiOS-6K7K バージョン6.2.6から6.2.7まで
• FortiOS-6K7K バージョン6.2.4
• FortiOS-6K7K バージョン6.0.12から6.0.16まで
• FortiOS-6K7K バージョン6.0.10
• FortiProxy バージョン7.2.0から7.2.3まで
• FortiProxy バージョン7.0.0から7.0.9まで
• FortiProxy バージョン2.0.0から2.0.12まで
• FortiProxy 1.2 全てのバージョン
• FortiProxy 1.1 全てのバージョン
• FortiOS バージョン7.2.0から7.2.4までのバージョン
• FortiOS バージョン7.0.0から7.0.11までのバージョン
• FortiOS バージョン6.4.0から6.4.12までのバージョン
• FortiOS バージョン6.2.0から6.2.13までのバージョン
• FortiOS バージョン6.0.0から6.0.16までのバージョン

　脆弱性が修正されたバージョンは以下の通りだ。

• FortiOS-6K7K バージョン7.0.12およびそれ以降
• FortiOS-6K7K バージョン6.4.13およびそれ以降
• FortiOS-6K7K バージョン6.2.15およびそれ以降
• FortiOS-6K7K バージョン6.0.17およびそれ以降
• FortiProxy バージョン7.2.4およびそれ以降
• FortiProxy バージョン7.0.10およびそれ以降
• FortiProxy バージョン2.0.13およびそれ以降
• FortiOS バージョン7.4.0およびそれ以降
• FortiOS バージョン7.2.5およびそれ以降
• FortiOS バージョン7.0.12およびそれ以降
• FortiOS バージョン6.4.13およびそれ以降
• FortiOS バージョン6.2.14およびそれ以降
• FortiOS バージョン6.0.17およびそれ以降

　該当製品はその用途の特性上、インターネットに接続され外部からアクセス可能な状態になっている。これはサイバー攻撃者がこの脆弱性を悪用しやすいことを意味している。Bishop Foxは該当製品を使用している場合、直ちにアドバイザリに従ってアップデートを適用するように呼びかけている。