ニュース
CVSSv3スコアは9.3 FortiOSとFortiProxyに「緊急」の脆弱性
FortinetはFortiOSとFortiProxyの脆弱性を報告した。CVSSv3スコアは9.3で深刻度「緊急」に分類されているため、早急なアップデートの適用が必要だ。
Fortinetは2023年3月7日(現地時間)、「FortiOS」と「FortiProxy」に脆弱(ぜいじゃく)性が存在すると伝えた。
これを悪用すると、リモートから任意のコードを実行したり、GUI上でサービス運用妨害(DoS:Denial of Service)を引き起こしたりできるため注意が必要だ。深刻度は「緊急」(Critical)とされており、該当製品を使用している場合は迅速にアップデートを適用することが求められる。
CVSSv3スコアは9.3 即時対応を
脆弱性の影響を受けるバージョンは以下の通りだ。
- FortiOS 7.2.0から7.2.3までのバージョン
- FortiOS 7.0.0から7.0.9までのバージョン
- FortiOS 6.4.0から6.4.11までのバージョン
- FortiOS 6.2.0から6.2.12までのバージョン
- FortiOS 6.0系全てのバージョン
- FortiProxy 7.2.0から7.2.2までのバージョン
- FortiProxy 7.0.0から7.0.8までのバージョン
- FortiProxy 2.0.0から2.0.11までのバージョン
- FortiProxy 1.2系全てのバージョン
- FortiProxy 1.1系全てのバージョン
脆弱性が修正されたバージョンは以下の通りだ。
- FortiOS 7.4.0およびこれ以降のバージョン
- FortiOS 7.2.4およびこれ以降のバージョン
- FortiOS 7.0.10およびこれ以降のバージョン
- FortiOS 6.4.12およびこれ以降のバージョン
- FortiOS 6.2.13およびこれ以降のバージョン
- FortiProxy 7.2.3およびこれ以降のバージョン
- FortiProxy 7.0.9およびこれ以降のバージョン
- FortiProxy 2.0.12およびこれ以降のバージョン
- FortiOS-6K7K 7.0.10およびこれ以降のバージョン
- FortiOS-6K7K 6.4.12およびこれ以降のバージョン
- FortiOS-6K7K 6.2.13およびこれ以降のバージョン
FortiOSを使っている場合、HTTP/HTTPS管理インタフェースを無効化するか、管理インタフェースにアクセス可能なIPアドレスを制限することで影響を緩和できる。
今回見つかった脆弱性は「CVE-2023-25610」として特定されており、脆弱性の深刻度は共通脆弱性評価システム(CVSS)v3スコアで9.3と評価されている。該当製品を使用している場合は迅速にアップデートしてほしい。
関連記事
- GCPのアクセスログ機能に重大な欠陥 セキュリティベンダーが指摘
MitigaはGCPに重大なフォレンジックセキュリティ上の欠陥があると説明した。この欠陥によって、サイバー攻撃者がデータを窃取していてもそれを検出できないと指摘している。 - Emotetが3カ月ぶりに活動再開 Officeマクロに要警戒
CofenseがEmotetの活動再開を伝えた。この3カ月間は休眠状態にあったが、2023年3月7日に活動の再開が観測された。請求書を模した悪意あるMicrosoft Officeファイルが使われており、注意が必要だ。予測稼働期間は現時点では不明だ。 - ビジネス成果ベースでセキュリティを構築する6つのステップ
十分なセキュリティ対策を講じることを重視するあまり、スピーティなビジネスの実行に悪影響を及ぼしてしまえば本末転倒だ。ビジネス視点でセキュリティを構築するとはどういうことだろうか。WithSecureが提唱するアプローチを見てみよう。 - CVSSスコア9.8のMicrosoft Wordの脆弱性 PoCが公開される
Bleeping ComputerがMicrosoft Wordにおける脆弱性のPoC公開について警戒を呼びかけた。これが悪用された場合は影響が広範囲に広がる可能性がある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.