Fortinet「FortiOS」既知脆弱性の悪用を確認 - 認証回避のおそれ
認証を回避された結果、「FortiGate」により指定された多要素認証が不要となるほか、無効化されたアカウントなどからも、管理者によるアクセスや「VPN」による接続が可能となる。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは「5.3」、重要度は4段階中、上から3番目にあたる「中(Medium)」とレーティングされている。
脆弱性に関しては、「FortiOS 6.4.1」「同6.2.4」「同6.0.10」にて修正されており、同社では同バージョン以降へ更新するようあらためて求めた。また大文字、小文字を区別する設定の無効化など、回避策も用意されている。
同社は脆弱性の影響を受けていないか確認するよう利用者に注意を喚起。侵害が確認された場合は、システム設定などに影響が及んでいるおそれもあるとして、認証情報などを変更するなど対策が必要としている。
あわせて不要なLDAPグループによる認証設定を削除するよう呼びかけている。
(Security NEXT - 2025/12/26 )
ツイート
PR
関連記事
AI開発向けフレームワーク「NVIDIA NeMo」に複数脆弱性
「ManageEngine」の複数製品でアカウント乗っ取りのおそれ
UbiquitiやLantronix製品の脆弱性悪用に注意喚起 - 米当局
KDDIのISP向けメールシステム侵害 - 提供先6社に影響
「Drupal」コアに脆弱性 - 影響を受ける環境は限定的
Zyxel「GS1900」シリーズに脆弱性 - LAN経由でOSコマンド実行のおそれ
「Autodesk Fusion」に脆弱性 - 悪意あるページ閲覧でRCEのおそれ
ID管理基盤「OpenAM」にアップデート - 多数の脆弱性を修正
「WooCommerce」旧版にRCE脆弱性 - 実証コードも
「Node.js」に12件の脆弱性 - 修正版を公開
