FortiOSにおけるCVSS9.8の脆弱性 サイバー攻撃者による悪用を確認

Fortinetは2022年12月に見つかったFortiOSの脆弱性がサイバー攻撃に悪用されていると報告した。該当製品を使っている場合はすぐにアップデートを適用してほしい。

» 2023年01月17日 08時00分 公開
[後藤大地有限会社オングス]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 Fortinetは2023年1月11日(現地時間、以下同)、同社のブログで2022年12月に公開した脆弱(ぜいじゃく)性を突いたサイバー攻撃が確認されたと伝えた。

 Fortinetは攻撃手段の複雑さから見て、背後にいるのは政府や政府関連機関をターゲットとした高度な脅威アクターだと分析している。同社は該当製品を使用しているユーザーに対し、すでに公開済みのアドバイザリに基づいた対応を取るように呼びかけている。

Fortinetは2022年12月に公開した脆弱性を突いたサイバー攻撃を確認した(出典:FortinetのWebサイト)

CVSSは9.8 高度なサイバー攻撃で悪用を確認

 Fortinetは2022年12月12日、同社のアドバイザリで、「FortiOS」と「FortiProxy」にヒープベースのバッファオーバーフロー脆弱性が存在すると伝えた。これを悪用されると、FortiOSのSSL-VPN機能において遠隔から任意のコードやコマンドが実行される危険性があるとされている。

 米国国立標準技術研究所(NIST)は本脆弱性について「NVD - CVE-2022-42475」として情報を掲載している。脆弱性の深刻度については共通脆弱性評価システム(CVSS)のスコア値で9.8と評価している。

 脆弱性の影響を受けるバージョンは以下の通りだ。

  • FortiOS 7.2.0から7.2.2までのバージョン
  • FortiOS 7.0.0から7.0.8までのバージョン
  • FortiOS 6.4.0から6.4.10までのバージョン
  • FortiOS 6.2.0から6.2.11までのバージョン
  • FortiOS 6.0.0から6.0.15までのバージョン
  • FortiOS 5.6.0から5.6.14までのバージョン
  • FortiOS 5.4.0から5.4.13までのバージョン
  • FortiOS 5.2.0から5.2.15までのバージョン
  • FortiOS 5.0.0から5.0.14までのバージョン
  • FortiOS-6K7K 7.0.0から7.0.7までのバージョン
  • FortiOS-6K7K 6.4.0から6.4.9までのバージョン
  • FortiOS-6K7K 6.2.0から6.2.11までのバージョン
  • FortiOS-6K7K 6.0.0から6.0.14までのバージョン
  • FortiProxy 7.2.0から7.2.1までのバージョン
  • FortiProxy 7.0.0から7.0.7までのバージョン
  • FortiProxy 2.0.0から2.0.11までのバージョン
  • FortiProxy 1.2.0から1.2.13までのバージョン
  • FortiProxy 1.1.0から1.1.6までのバージョン
  • FortiProxy 1.0.0から1.0.7までのバージョン

 Fortinetは、セキュリティ侵害の度合いを示すインジケーター(IoC:Indicator of Compromise)を掲載している。該当製品を使用している場合、IoCに合致するものが存在していないかどうかを確認してほしい。また、依然として脆弱性が存在するバージョンを使っている場合は、2022年12月12日に公開されたセキュリティアドバイザリに従って迅速に対処してほしい。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ