FortiOSにおけるCVSS9.8の脆弱性 サイバー攻撃者による悪用を確認
Fortinetは2022年12月に見つかったFortiOSの脆弱性がサイバー攻撃に悪用されていると報告した。該当製品を使っている場合はすぐにアップデートを適用してほしい。
Fortinetは2023年1月11日(現地時間、以下同)、同社のブログで2022年12月に公開した脆弱(ぜいじゃく)性を突いたサイバー攻撃が確認されたと伝えた。
Fortinetは攻撃手段の複雑さから見て、背後にいるのは政府や政府関連機関をターゲットとした高度な脅威アクターだと分析している。同社は該当製品を使用しているユーザーに対し、すでに公開済みのアドバイザリに基づいた対応を取るように呼びかけている。
CVSSは9.8 高度なサイバー攻撃で悪用を確認
Fortinetは2022年12月12日、同社のアドバイザリで、「FortiOS」と「FortiProxy」にヒープベースのバッファオーバーフロー脆弱性が存在すると伝えた。これを悪用されると、FortiOSのSSL-VPN機能において遠隔から任意のコードやコマンドが実行される危険性があるとされている。
米国国立標準技術研究所(NIST)は本脆弱性について「NVD - CVE-2022-42475」として情報を掲載している。脆弱性の深刻度については共通脆弱性評価システム(CVSS)のスコア値で9.8と評価している。
脆弱性の影響を受けるバージョンは以下の通りだ。
- FortiOS 7.2.0から7.2.2までのバージョン
- FortiOS 7.0.0から7.0.8までのバージョン
- FortiOS 6.4.0から6.4.10までのバージョン
- FortiOS 6.2.0から6.2.11までのバージョン
- FortiOS 6.0.0から6.0.15までのバージョン
- FortiOS 5.6.0から5.6.14までのバージョン
- FortiOS 5.4.0から5.4.13までのバージョン
- FortiOS 5.2.0から5.2.15までのバージョン
- FortiOS 5.0.0から5.0.14までのバージョン
- FortiOS-6K7K 7.0.0から7.0.7までのバージョン
- FortiOS-6K7K 6.4.0から6.4.9までのバージョン
- FortiOS-6K7K 6.2.0から6.2.11までのバージョン
- FortiOS-6K7K 6.0.0から6.0.14までのバージョン
- FortiProxy 7.2.0から7.2.1までのバージョン
- FortiProxy 7.0.0から7.0.7までのバージョン
- FortiProxy 2.0.0から2.0.11までのバージョン
- FortiProxy 1.2.0から1.2.13までのバージョン
- FortiProxy 1.1.0から1.1.6までのバージョン
- FortiProxy 1.0.0から1.0.7までのバージョン
Fortinetは、セキュリティ侵害の度合いを示すインジケーター(IoC:Indicator of Compromise)を掲載している。該当製品を使用している場合、IoCに合致するものが存在していないかどうかを確認してほしい。また、依然として脆弱性が存在するバージョンを使っている場合は、2022年12月12日に公開されたセキュリティアドバイザリに従って迅速に対処してほしい。
関連記事
- 25億人以上に影響か、Google Chromeに「重要」の脆弱性 急ぎ更新を
ImpervaはGoogle Chromeにシンボリックリンクフォローの脆弱性を発見した。同脆弱性は、Google Chromeおよび「Chromium」ベースのブラウザの25億人以上のユーザーに影響を与えるとされている。 - Control Web PanelにCVSSスコア9.8の脆弱性、Linuxユーザーは警戒を
エンタープライズLinuxの管理ツールとして人気の高いCWPの脆弱性が悪用されていることが分かった。同脆弱性はCVSSスコア値が9.8と評価されており、深刻度「緊急」(Critical)に分類されている。 - AcrobatとAcrobat Readerに複数の「緊急」脆弱性 迅速なアップデートを
Adobe AcrobatとAdobe Acrobat Readerに複数の脆弱性が見つかった。幾つかの脆弱性は深刻度が「緊急」(Critical)と評価されている。該当する製品を使用している場合は迅速にアップデートしてほしい。 - Windows 7(ESU)とWindows 8.1のサポートが完全終了 ユーザーは今後どうすればいい?
2023年1月10日でこれまで長期にわたって使われてきたWindows 7とWindows 8.1のライフサイクルが終了した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.