Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Fortinet製品に複数の脆弱性 - 「クリティカル」とされる脆弱性も

Fortinet製品に複数の脆弱性が明らかとなった。「FortiOS」や「FortiProxy」では、重要度が「クリティカル(Critical)」とされる脆弱性「CVE-2023-25610」が判明している。

同社は現地時間3月7日にセキュリティアドバイザリ15件をリリースし、利用者に注意喚起を行った。脆弱性の重要度を見ると、5段階中もっとも高い「クリティカル(Critical)」とされる脆弱性は1件。2番目に高い「高(High)」とされる脆弱性が5件、続く「中(Medium)」が8件、「低(Low)」が1件となっている。

「クリティカル」とされる脆弱性は、「FortiOS」および「FortiProxy」が影響を受けるバッファアンダーフローの脆弱性「CVE-2023-25610」。管理画面インタフェースに対して細工したリクエストを送信されると、認証なしにコードを実行されたり、サービス拒否に陥るおそれがある。ただし、一部ハードウェアに関しては、サービス拒否のみ影響を受けるとしている。

共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」。同社が実施しているセキュリティテストを通じて発見したとしており、公表時点で脆弱性の悪用は確認されていないという。

重要度が「高」とされる脆弱性は、「FortiOS」「FortiProxy」に明らかとなったパストラバーサルの脆弱性「CVE-2022-42476」のほか、「FortiNAC」に判明した「CVE-2022-39953」「CVE-2022-40676」、「FortiWeb」の「CVE-2022-39951」、「FortiSOAR」の「CVE-2023-25605」。

そのほか「FortiPortal」「FortiAuthenticator」「FortiSwitch」「FortiMail」「FortiAnalyzer」「FortiRecorder」「FortiDeceptor」などにも脆弱性が明らかとなっており、同社ではアップデートを提供している。今回公表された脆弱性は以下のとおり。

CVE-2022-22297
CVE-2022-27490
CVE-2022-29056
CVE-2022-39951
CVE-2022-39953
CVE-2022-40676
CVE-2022-41328
CVE-2022-41329
CVE-2022-41333
CVE-2022-42476
CVE-2022-45861
CVE-2023-23776
CVE-2023-25605
CVE-2023-25610
CVE-2023-25611

お詫びと訂正:本記事初出時における「CVE-2023-25610」のCVSS基本値を修正しました。ご迷惑をおかけした読者、関係者のみなさまにお詫びし、訂正いたします。

(Security NEXT - 2023/03/09 ) このエントリーをはてなブックマークに追加

PR

関連記事

教員採用選考受検者の自己申告用紙が所在不明に - 新潟県
他県で実施した中学校自然教室で生徒名簿が所在不明に - 横浜市
誤った住所へ会員証を送付、システムトラブルで - JAF
Salesforceのローコード開発ツールに脆弱性 - 設定リスクの指摘も
構成管理ツール「Salt」に複数脆弱性 - 「クリティカル」も
MDMサーバから従業員情報流出、削除データも - ジブラルタ生保
「Kibana」に深刻な脆弱性 - 「Chromium」の既知脆弱性に起因
ファッション通販サイトに不正アクセス、通知メールが送信
サイバー攻撃で元従業員情報が流出した可能性 - クミアイ化学工業
「IBM i」のFAX機能に権限昇格の脆弱性 - 修正パッチを提供