ニュース
FortiSwitchにCVSS 9.6の緊急の脆弱性 リモートコード実行のリスク:セキュリティニュースアラート
FortinetのLANスイッチ「FortiSwitch」に深刻な脆弱性が見つかった。CVSSのスコアは9.6で、深刻度「緊急」(Critical)に分類されている。これを悪用すると、デバイスを乗っ取られるリスクがあるため早急な対処が求められる。
Fortinetは2025年1月14日(現地時間)、同社のLANスイッチ「FortiSwitch」に深刻な脆弱(ぜいじゃく)性が存在すると報告した。この脆弱性が悪用された場合、認証されていないリモート攻撃者が特定の暗号化リクエストを利用して不正なコードを実行する可能性がある。
FortiSwitchにCVSS 9.6の緊急の脆弱性 デバイスが乗っ取られるリスクあり
脆弱性のCVE情報は以下の通りだ。
- CVE-2023-37936: リモートコード実行(RCE)の脆弱性。この脆弱性はハードコードされた暗号化キーが使用されることに起因する。未認証の攻撃者はリモートから細工したリクエストを介して不正なコードやコマンドを実行できるようになる。共通脆弱性評価システム(CVSS)のスコア値は9.6で深刻度「緊急」(Critical)に分類されている
影響を受けるバージョンは以下の通りだ。
- FortiSwitch 7.4.0
- FortiSwitch 7.2.0から7.2.5までのバージョン
- FortiSwitch 7.0.0から7.0.7までのバージョン
- FortiSwitch 6.4.0から6.4.13までのバージョン
- FortiSwitch 6.2.0から6.2.7までのバージョン
- FortiSwitch 6.0.0から6.0.7までのバージョン
修正された製品およびバージョンは以下の通りだ。
- FortiSwitch 7.4.1およびこれ以降のバージョン
- FortiSwitch 7.2.6およびこれ以降のバージョン
- FortiSwitch 7.0.8およびこれ以降のバージョン
- FortiSwitch 6.4.14およびこれ以降のバージョン
- FortiSwitch 6.2.8およびこれ以降のバージョン
影響を受ける可能性のあるユーザーは直ちに修正済みのバージョンにアップデートすることが推奨される。FortiSwitch 6.0.0〜6.0.7までのバージョンはサポートが終了しているため、サポート対象の最新バージョンに移行する必要がある。攻撃者にデバイスが完全に乗っ取られ、システム全体に重大なリスクをもたらす可能性があるため早急な対応が求められる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
アタックサーフェスマネジメントツールへの過信は禁物? できること、できないことを解説
注目のセキュリティキーワードである「ASM」(Attack Surface Management)。ASMツールを導入すれば全てが解決するというわけではありません。本稿はASMツールでできること、できないことを解説します。
注目はパスキーだけじゃない 2025年こそ流行ってほしい3つのセキュリティ技術
2025年が始まりました。相変わらずサイバー攻撃は収まる気配はないので、防御側もしっかりと対策を講じなければなりません。今回は新年1回目ということで、2025年こそ流行ってほしい3つのセキュリティ技術を紹介します。
“ランサムウェア戦国時代”到来? 2つの事件から見る攻撃者ビジネスの変化
RaaSをはじめとしたランサムウェアの高度化は大きな問題だ。2024年にランサムウェアのエコシステムに起きた“象徴的な2つの事件”を取り上げ、攻撃者たちのビジネスモデルや意識がどのように変化したかを解説しよう。
“EDR回避”は2025年の最新トレンド? 最新の攻撃手法を深堀しよう
ここ数年で、ランサムウェアをはじめとしたサイバー攻撃を防ぐ有効な手段としてEDRが広く普及しました。しかし攻撃者もこれを理解し、EDRを回避する攻撃手法を編み出すようになっています。今回はその技術的手法の詳細に迫ります。