ニュース
約33万のFortinet製SSL VPNインタフェースが脆弱性を放置している
Fortinetは2023年6月にFortiOSに存在するヒープバッファーオーバーフローの脆弱性に対処したアップデートの提供を開始した。しかし1カ月たってもアップデートの適用状況は好ましくない。
セキュリティ企業のBishop Foxは2023年6月30日(現地時間)、Fortinetが同年6月に配信した「FortiOS」の脆弱(ぜいじゃく)性に対処したアップデートの適用状況について調査結果を公開した。
Bishop Foxの調査によると、インターネットに公開されている49万個のFortiOSのSSL VPNインタフェースのうち、69%にパッチが適用されていないことが判明したという。
約33万のSSL VPNインタフェースがパッチ未適用
今回問題になっているのは、FortiOSに存在するヒープバッファーオーバーフローの脆弱性で、CVE-2023-27997として特定されている。CVE-2023-27997はCVSS v3.1のスコア値が9.2で深刻度「緊急」(Critical)に分類される。Bishop Foxはこの脆弱性に関するエクスプロイトを開発しており、これを使うと未認証のユーザーによるリモートコード実行が可能になると説明している。
脆弱性が存在するバージョンは以下の通りだ。
- FortiOS-6K7K バージョン7.0.10
- FortiOS-6K7K バージョン7.0.5
- FortiOS-6K7K バージョン6.4.12
- FortiOS-6K7K バージョン6.4.10
- FortiOS-6K7K バージョン6.4.8
- FortiOS-6K7K バージョン6.4.6
- FortiOS-6K7K バージョン6.4.2
- FortiOS-6K7K バージョン6.2.9から6.2.13まで
- FortiOS-6K7K バージョン6.2.6から6.2.7まで
- FortiOS-6K7K バージョン6.2.4
- FortiOS-6K7K バージョン6.0.12から6.0.16まで
- FortiOS-6K7K バージョン6.0.10
- FortiProxy バージョン7.2.0から7.2.3まで
- FortiProxy バージョン7.0.0から7.0.9まで
- FortiProxy バージョン2.0.0から2.0.12まで
- FortiProxy 1.2 全てのバージョン
- FortiProxy 1.1 全てのバージョン
- FortiOS バージョン7.2.0から7.2.4までのバージョン
- FortiOS バージョン7.0.0から7.0.11までのバージョン
- FortiOS バージョン6.4.0から6.4.12までのバージョン
- FortiOS バージョン6.2.0から6.2.13までのバージョン
- FortiOS バージョン6.0.0から6.0.16までのバージョン
脆弱性が修正されたバージョンは以下の通りだ。
- FortiOS-6K7K バージョン7.0.12およびそれ以降
- FortiOS-6K7K バージョン6.4.13およびそれ以降
- FortiOS-6K7K バージョン6.2.15およびそれ以降
- FortiOS-6K7K バージョン6.0.17およびそれ以降
- FortiProxy バージョン7.2.4およびそれ以降
- FortiProxy バージョン7.0.10およびそれ以降
- FortiProxy バージョン2.0.13およびそれ以降
- FortiOS バージョン7.4.0およびそれ以降
- FortiOS バージョン7.2.5およびそれ以降
- FortiOS バージョン7.0.12およびそれ以降
- FortiOS バージョン6.4.13およびそれ以降
- FortiOS バージョン6.2.14およびそれ以降
- FortiOS バージョン6.0.17およびそれ以降
該当製品はその用途の特性上、インターネットに接続され外部からアクセス可能な状態になっている。これはサイバー攻撃者がこの脆弱性を悪用しやすいことを意味している。Bishop Foxは該当製品を使用している場合、直ちにアドバイザリに従ってアップデートを適用するように呼びかけている。
関連記事
- FortiNACにCVSSスコア9.6の脆弱性 迅速にアップデートを
Fortinetのネットワークアクセス制御ソリューション「FortiNAC」に深刻度「緊急」の脆弱性が見つかった。回避策などは提供されていないため、急ぎアップデートを適用してほしい。 - FortiGate/FortiOSの最新アップデートが公開 RCEの脆弱性を修正か
FortinetはFortiGateおよびFortiOSの最新バージョンを公開した。新バージョンには発表前の重要な脆弱性の修正が含まれる可能性があり、ユーザーは可能な限り迅速なアップデートが推奨される。 - 340万人のセキュリティ人材不足 Fortinetギャップレポートが明かす現実
フォーティネットジャパンは「サイバーセキュリティスキルギャップレポート 2023年版」を公開した。企業におけるセキュリティ人材不足の実態が明らかになった。 - FortiOSにパストラバーサルの脆弱性 政府機関へのサイバー攻撃が観測される
Fortinetは、FortiOSにパストラバーサルの脆弱性が存在するとし、公開の数日後にその脆弱性が政府機関などを標的としたサイバー攻撃に悪用されていたことを伝えた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.