「FortiOS」にあらたな脆弱性 - 悪用済み脆弱性と関連する脆弱性も

Fortinetは、「FortiOS」に関するあらたな脆弱性4件について明らかにした。2025年1月に公表されたゼロデイ脆弱性「CVE-2024-55591」と関連する脆弱性も含まれる。

各社が定例のセキュリティアップデートを公開する米時間毎月第2火曜日、いわゆる「パッチチューズデー」にセキュリティアドバイザリ3件を新規に公開した。あわせて1件のアドバイザリを更新している。

あらたに公開されたアドバイザリでは、権限の昇格が可能となる「CVE-2024-40591」について言及。アクセスプロファイルにセキュリティファブリックの権限を持つ管理者が、自分が制御する悪意のある上流の「FortiGate」に標的とする「FortiGate」を接続させることで権限昇格が可能としている。

また公開されたインターフェイス上でファブリックサービスを実行している場合、悪意あるUDPパケットを送信することでスタックベースのバッファオーバーフローを発生させ、リモートより任意のコードが実行できる「CVE-2024-35279」について明らかにした。

共通脆弱性評価システム「CVSSv3.1」のベーススコアは、「CVE-2024-40591」が「8.8」、「CVE-2024-35279」が「8.1」となっている。重要度はいずれも4段階中、上から2番目にあたる「高（High）」とレーティングした。

（Security NEXT - 2025/02/12 ） ツイート

PR

関連記事

SAP、3月の月例パッチを公開 - 新規アドバイザリ21件を公開
エンプラサーバなどに採用されるAMI製「BMC」にRCE脆弱性
サーバ製品「HPE Cray XD670」の管理ソフトに深刻な脆弱性
「Apache Tomcat」の脆弱性攻撃が発生 - 「WAF」回避のおそれも
図書館管理システム「Koha」に複数脆弱性 - アップデートで修正
PerconaのDB管理ツールに深刻な脆弱性 - 更新と侵害有無の確認を
「Microsoft Edge」にアップデート - Chromiumの脆弱性修正を反映
「Chrome」のGPU脆弱性修正、WebKit関連のゼロデイ脆弱性と判明
「PHP」に複数脆弱性 - セキュリティアップデートがリリース
「Junos OS」に定例外アップデート - ゼロデイ脆弱性を修正