Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「FortiOS」に複数の深刻な脆弱性 - すでに一部は悪用か

さらに証明書の検証処理に不備が存在し、中間者攻撃によって「FortiOS」を搭載したデバイスと「FortiSwitch」のインスタンス間における通信を傍受、改ざんされるおそれがある脆弱性「CVE-2023-47537」が判明。

「HTTP/2ラピッドリセット攻撃」の脆弱性「CVE-2023-44487」の影響を受けることなども明らかにした。

「CVE-2023-47537」「CVE-2023-44487」については、CVSS基本値をぞれぞれ「4.8」「5.3」、ともに重要度を上から3番目にあたる「中(Medium)」とレーティングしている。

脆弱性によって影響を受けるバージョンは異なるが、「同7.4.3」「同7.2.7」「同7.0.14」「同6.4.15」「同6.2.16」や以降のバージョンにアップデートすることで今回判明した脆弱性のいずれも解消することができる。

すでに悪用されている可能性がある「CVE-2024-21762」については、VPSそのものを無効化する緩和策が紹介されている。ウェブモードを無効化するだけでは緩和策の効果は得られないとしており、注意が必要。

また「CVE-2024-21762」が公表されたことを受け、JPCERTコーディネーションセンターなども注意を呼びかけている。

(Security NEXT - 2024/02/09 ) このエントリーをはてなブックマークに追加

PR

関連記事

「XenServer」「Citrix Hypervisor」に脆弱性 - 情報流出やDoS攻撃のおそれ
先週注目された記事(2024年4月7日〜2024年4月13日)
「PAN-OS」に対するゼロデイ攻撃、国内被害は未確認
「PAN-OS」を狙う「Operation MidnightEclipse」 - 3月下旬より展開
Palo Alto Networksの「PAN-OS」にゼロデイ脆弱性 - パッチを準備中
サポート詐欺で患者情報含むPCが遠隔操作できる状態に - 富田林病院
イベント申込フォームで設定ミス、個人情報が閲覧可能に - 会津若松市
学校で個人情報含む入学関係書類を誤廃棄 - 横須賀市
人材育成プログラム「SecHack365」が応募受付をまもなく開始
フィッシングURLが前月比約84%増 - 使い捨てURLを悪用