FortiOSに新たなセキュリティリスク CVSS v3スコア9.6で深刻度「Critical」セキュリティニュースアラート

FortinetはFortiOSのセキュリティ脆弱性CVE-2024-21762を公表した。この脆弱性はsslvpndに存在し、CVSS v3で緊急度「Critical」スコア9.6と評価された。対象製品は幅広いバージョンに及び、未承認コード実行のリスクがある。

» 2024年02月14日 07時00分 公開
[後藤大地有限会社オングス]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 Fortinetは2024年2月8日(現地時間、以下同じ)、「FortiOS」に領域外書き込みによるセキュリティ脆弱(ぜいじゃく)性CVE-2024-21762が存在すると発表した。この脆弱性はsslvpndに存在し、共通脆弱性評価システム(CVSS)v3でスコア値9.6、深刻度が緊急(Critical)と分析されている。対象となる製品はFortiOS 6.0系から7.4.2までおよび「FortiProxy」の複数バージョンにわたる。このセキュリティ脆弱性を悪用された場合には、許可されていないコードやコマンドが実行される危険性がある。

 Fortinetは影響を受ける全てのユーザーに対して速やかに対応版へのアップデートを推奨しており、一時的な回避策としてSSLを無効化することも提案している。CISAも注意喚起しておりすでに悪用されていることを警告している。

PSIRT|FortiGuard(出典:FortinetのWebサイト)

既に悪用を確認 アップデートが必要な FortiOSとFortiProxyは?

 セキュリティ脆弱性の影響を受けるとされる製品およびバージョンは次の通りだ。

  • FortiOS 7.4.0から7.4.2までのバージョン
  • FortiOS 7.2.0から7.2.6までのバージョン
  • FortiOS 7.0.0から7.0.13までのバージョン
  • FortiOS 6.4.0から6.4.14までのバージョン
  • FortiOS 6.2.0から6.2.15までのバージョン
  • FortiOS 6.0系全てのバージョン
  • FortiProxy 7.4.0から7.4.2までのバージョン
  • FortiProxy 7.2.0から7.2.8までのバージョン
  • FortiProxy 7.0.0から7.0.14までのバージョン
  • FortiProxy 2.0.0から2.0.13までのバージョン
  • FortiProxy 1.2系全てのバージョン
  • FortiProxy 1.1系全てのバージョン
  • FortiProxy 1.0系す全てのバージョン

 セキュリティ脆弱性が修正された製品およびバージョンは次の通りだ。

  • FortiOS 7.4.3
  • FortiOS 7.2.7
  • FortiOS 7.0.14
  • FortiOS 6.4.15
  • FortiOS 6.2.16
  • FortiProxy 7.4.3
  • FortiProxy 7.2.9
  • FortiProxy 7.0.15
  • FortiProxy 2.0.14

 次の製品およびバージョンに関してはセキュリティ脆弱性が修正されたバージョンに移行する必要があるとされている。

  • FortiOS 6.0系
  • FortiProxy 1.2系
  • FortiProxy 1.1系
  • FortiProxy 1.0系

 SSLを無効化することで問題を一時的に回避することができる。なお、Webモードを無効化しても回避策とはならない点に注意が必要だ。Fortinetは「このセキュリティ脆弱性がすでに広く悪用されている」と指摘しており、該当するユーザーは迅速にアップデートを適用することが望まれる。アップデート手順は「Upgrade Path Tool Table」で確認できる。

 今回見つかったセキュリティ脆弱性については、米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA)も注意喚起している。同庁は「Known Exploited Vulnerabilities Catalog」カタログに追加し、既に悪用されていることを公表して警戒を呼びかけている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ