FortiOSに新たなセキュリティリスク CVSS v3スコア9.6で深刻度「Critical」:セキュリティニュースアラート
FortinetはFortiOSのセキュリティ脆弱性CVE-2024-21762を公表した。この脆弱性はsslvpndに存在し、CVSS v3で緊急度「Critical」スコア9.6と評価された。対象製品は幅広いバージョンに及び、未承認コード実行のリスクがある。
Fortinetは2024年2月8日(現地時間、以下同じ)、「FortiOS」に領域外書き込みによるセキュリティ脆弱(ぜいじゃく)性CVE-2024-21762が存在すると発表した。この脆弱性はsslvpndに存在し、共通脆弱性評価システム(CVSS)v3でスコア値9.6、深刻度が緊急(Critical)と分析されている。対象となる製品はFortiOS 6.0系から7.4.2までおよび「FortiProxy」の複数バージョンにわたる。このセキュリティ脆弱性を悪用された場合には、許可されていないコードやコマンドが実行される危険性がある。
Fortinetは影響を受ける全てのユーザーに対して速やかに対応版へのアップデートを推奨しており、一時的な回避策としてSSLを無効化することも提案している。CISAも注意喚起しておりすでに悪用されていることを警告している。
既に悪用を確認 アップデートが必要な FortiOSとFortiProxyは?
セキュリティ脆弱性の影響を受けるとされる製品およびバージョンは次の通りだ。
- FortiOS 7.4.0から7.4.2までのバージョン
- FortiOS 7.2.0から7.2.6までのバージョン
- FortiOS 7.0.0から7.0.13までのバージョン
- FortiOS 6.4.0から6.4.14までのバージョン
- FortiOS 6.2.0から6.2.15までのバージョン
- FortiOS 6.0系全てのバージョン
- FortiProxy 7.4.0から7.4.2までのバージョン
- FortiProxy 7.2.0から7.2.8までのバージョン
- FortiProxy 7.0.0から7.0.14までのバージョン
- FortiProxy 2.0.0から2.0.13までのバージョン
- FortiProxy 1.2系全てのバージョン
- FortiProxy 1.1系全てのバージョン
- FortiProxy 1.0系す全てのバージョン
セキュリティ脆弱性が修正された製品およびバージョンは次の通りだ。
- FortiOS 7.4.3
- FortiOS 7.2.7
- FortiOS 7.0.14
- FortiOS 6.4.15
- FortiOS 6.2.16
- FortiProxy 7.4.3
- FortiProxy 7.2.9
- FortiProxy 7.0.15
- FortiProxy 2.0.14
次の製品およびバージョンに関してはセキュリティ脆弱性が修正されたバージョンに移行する必要があるとされている。
- FortiOS 6.0系
- FortiProxy 1.2系
- FortiProxy 1.1系
- FortiProxy 1.0系
SSLを無効化することで問題を一時的に回避することができる。なお、Webモードを無効化しても回避策とはならない点に注意が必要だ。Fortinetは「このセキュリティ脆弱性がすでに広く悪用されている」と指摘しており、該当するユーザーは迅速にアップデートを適用することが望まれる。アップデート手順は「Upgrade Path Tool Table」で確認できる。
今回見つかったセキュリティ脆弱性については、米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA)も注意喚起している。同庁は「Known Exploited Vulnerabilities Catalog」カタログに追加し、既に悪用されていることを公表して警戒を呼びかけている。
関連記事
- Excel経由でのマルウェア感染に要注意 Fortinetが新たな手口を公開
FortinetはExcelファイルを通じて情報窃取型マルウェアを配布する新たな手口を発表した。この攻撃はExcelファイル内のVBAマクロから始まり、最終的にWebブラウザのデータまでを窃取する。 - Fortinetが生成AIアシスタント「Fortinet Advisor」を発表 SecOpsチームの業務を支援
Fortinetは生成AIアシスタント「Fortinet Advisor」を発表した。セキュリティ運用チームの支援に利用でき、迅速な脅威調査と修復を可能にする。 - フォーティネットがゼロトラストに関するグローバル調査を発表
フォーティネットジャパンはゼロトラストに関するグローバル調査結果「2023年ゼロトラストに関する現状レポート」を発表した。ハイブリッドクラウドにおけるゼロトラストセキュリティの構築に課題があるようだ。 - FortiOSとFortiProxyにCVSSv3 9.8の脆弱性 直ちにアップデートを
FortiOSとFortiProxyに深刻度「緊急」の脆弱性が見つかった。これをサイバー攻撃者に悪用されると、任意のコードやコマンドが実行されるリスクがある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.