FortiOSとFortiProxyにCVSSv3 9.8の脆弱性 直ちにアップデートを

FortiOSとFortiProxyに深刻度「緊急」の脆弱性が見つかった。これをサイバー攻撃者に悪用されると、任意のコードやコマンドが実行されるリスクがある。

[後藤大地，有限会社オングス]

　Fortinetは2023年7月11日（現地時間）、「FortiOS」と「FortiProxy」にスタックオーバーフローの脆弱（ぜいじゃく）性が存在すると報告した。

　同脆弱性はCVE-2023-33308として特定されており、共通脆弱性評価システム（CVSS）v3スコアで9.8、深刻度「緊急」（Critical）に分類されている。これをサイバー攻撃者に悪用されると、任意のコードやコマンドが実行されるリスクがある。

FortiOSとFortiProxyにスタックオーバーフローの脆弱性が見つかった（出典：FortinetのWebサイト）

CVSS v3スコアは9.8　急ぎアップデートを

　脆弱性の影響を受けるバージョンは以下の通りだ。

• FortiOS 7.2.3
• FortiOS 7.2.2
• FortiOS 7.2.1
• FortiOS 7.2.0
• FortiOS 7.0.10
• FortiOS 7.0.9
• FortiOS 7.0.8
• FortiOS 7.0.7
• FortiOS 7.0.6
• FortiOS 7.0.5
• FortiOS 7.0.4
• FortiOS 7.0.3
• FortiOS 7.0.2
• FortiOS 7.0.1
• FortiOS 7.0.0
• FortiProxy 7.2.2
• FortiProxy 7.2.1
• FortiProxy 7.2.0
• FortiProxy 7.0.9
• FortiProxy 7.0.8
• FortiProxy 7.0.7
• FortiProxy 7.0.6
• FortiProxy 7.0.5
• FortiProxy 7.0.4
• FortiProxy 7.0.3
• FortiProxy 7.0.2
• FortiProxy 7.0.1
• FortiProxy 7.0.0

　脆弱性が修正されたバージョンは以下の通りだ。

• FortiOS 7.4.0およびこれ以降のバージョン
• FortiOS 7.2.4およびこれ以降のバージョン
• FortiOS 7.0.11およびこれ以降のバージョン
• FortiProxy 7.2.3およびこれ以降のバージョン
• FortiProxy 7.0.10およびこれ以降のバージョン

　また、以下のバージョンは同脆弱性の影響を受けないとされている。

• FortiOS 6.4系全てのバージョン
• FortiOS 6.2系全てのバージョン
• FortiOS 6.0系全てのバージョン
• FortiProxy 2.x系全てのバージョン
• FortiProxy 1.x系全てのバージョン

　今回見つかった脆弱性は、前回のリリースでバグ修正の一環としてすでに修正されている。そのときにはセキュリティアドバイザリは割り当てられていない。Fortinetはしばしば脆弱性情報をアップデートの提供後に公開することがあり、今回もそうしたケースの一つとみられる。該当製品を使用している場合、直ちに内容を確認するとともに適切に対処してほしい。