FortiSwitchにCVSS 9.6の緊急の脆弱性 リモートコード実行のリスク：セキュリティニュースアラート

FortinetのLANスイッチ「FortiSwitch」に深刻な脆弱性が見つかった。CVSSのスコアは9.6で、深刻度「緊急」（Critical）に分類されている。これを悪用すると、デバイスを乗っ取られるリスクがあるため早急な対処が求められる。

[後藤大地，有限会社オングス]

　Fortinetは2025年1月14日（現地時間）、同社のLANスイッチ「FortiSwitch」に深刻な脆弱（ぜいじゃく）性が存在すると報告した。この脆弱性が悪用された場合、認証されていないリモート攻撃者が特定の暗号化リクエストを利用して不正なコードを実行する可能性がある。

FortiSwitchにCVSS 9.6の緊急の脆弱性　デバイスが乗っ取られるリスクあり

　脆弱性のCVE情報は以下の通りだ。

• CVE-2023-37936：　リモートコード実行（RCE）の脆弱性。この脆弱性はハードコードされた暗号化キーが使用されることに起因する。未認証の攻撃者はリモートから細工したリクエストを介して不正なコードやコマンドを実行できるようになる。共通脆弱性評価システム（CVSS）のスコア値は9.6で深刻度「緊急」（Critical）に分類されている

　影響を受けるバージョンは以下の通りだ。

• FortiSwitch 7.4.0
• FortiSwitch 7.2.0から7.2.5までのバージョン
• FortiSwitch 7.0.0から7.0.7までのバージョン
• FortiSwitch 6.4.0から6.4.13までのバージョン
• FortiSwitch 6.2.0から6.2.7までのバージョン
• FortiSwitch 6.0.0から6.0.7までのバージョン

　修正された製品およびバージョンは以下の通りだ。

• FortiSwitch 7.4.1およびこれ以降のバージョン
• FortiSwitch 7.2.6およびこれ以降のバージョン
• FortiSwitch 7.0.8およびこれ以降のバージョン
• FortiSwitch 6.4.14およびこれ以降のバージョン
• FortiSwitch 6.2.8およびこれ以降のバージョン

　影響を受ける可能性のあるユーザーは直ちに修正済みのバージョンにアップデートすることが推奨される。FortiSwitch 6.0.0〜6.0.7までのバージョンはサポートが終了しているため、サポート対象の最新バージョンに移行する必要がある。攻撃者にデバイスが完全に乗っ取られ、システム全体に重大なリスクをもたらす可能性があるため早急な対応が求められる。