Fortinet の深刻な脆弱性 CVE-2023-25610 が FIX:直ちにパッチ適用を!

Fortinet warns of new critical unauthenticated RCE vulnerability

2023/03/08 BleepingComputer — Fortinet が公開したのは、FortiOS/FortiProxy に影響を及ぼす、きわめて深刻な脆弱性 CVE-2023-25610 である。特別に細工したリクエストを、未認証の攻撃者が用いることで、脆弱なデバイスの GUI 上で任意のコード実行やサービス拒否 (DoS) が生じる可能性があるという。このバッファ・アンダーフローの脆弱性 CVE-2023-25610 は、CVSS v3 値が 9.3 であり、Critical と評価されている。この種の不具合は、メモリ・バッファから設定値以上のデータ量を、プログラムが読み込もうとしたときに発生する。その結果として、隣接するメモリ領域へのアクセスが生じ、危険な動作やクラッシュにつながるという。


昨日に Fortinet が発表したセキュリティ・アドバイザリによると、現時点では野放し状態の悪用事例は把握されていないが、以下の製品に影響するとのことだ。

  • FortiOS version 7.2.0 through 7.2.3
  • FortiOS version 7.0.0 through 7.0.9
  • FortiOS version 6.4.0 through 6.4.11
  • FortiOS version 6.2.0 through 6.2.12
  • FortiOS 6.0, all versions
  • FortiProxy version 7.2.0 through 7.2.2
  • FortiProxy version 7.0.0 through 7.0.8
  • FortiProxy version 2.0.0 through 2.0.11
  • FortiProxy 1.2, all versions
  • FortiProxy 1.1, all versions

この脆弱性 CVE-2023-25610 を修正した、アップグレード対象バージョンは以下の通りである。

  • FortiOS version 7.4.0 or above
  • FortiOS version 7.2.4 or above
  • FortiOS version 7.0.10 or above
  • FortiOS version 6.4.12 or above
  • FortiOS version 6.2.13 or above
  • FortiProxy version 7.2.3 or above
  • FortiProxy version 7.0.9 or above
  • FortiProxy version 2.0.12 or above
  • FortiOS-6K7K version 7.0.10 or above
  • FortiOS-6K7K version 6.4.12 or above
  • FortiOS-6K7K version 6.2.13 or above

Fortinet によると、セキュリティ・アドバイザリに記載されている 50種類のデバイス・モデルは、脆弱な FortiOS バージョンを実行している状態であっても、任意のコード実行コンポーネントの影響は受けず、サービス拒否の部分のみの影響を受けるという。

このアドバイザリに記載されていないデバイス・モデルは、両方の問題に対して脆弱である。したがって、管理者は、利用可能なセキュリティ・アップデートを直ちに適用する必要がある。

アップデートを適用できない場合の回避策として、HTTP/HTTPS 管理インターフェイスの無効化および、リモートアクセスが可能な IP アドレスの制限を、Fortinet は提案している。

デフォルト以外のポートを使用するケースに対応しする回避策については、セキュリティ・アドバイザリに記載されている。

脅威アクターたちは、Fortinet 製品の深刻な欠陥に対して、特に認証を必要としない欠陥に対して目を光らせている。そこから、企業ネットワークへのイニシャル・アクセスを手に入れようとしているため、この脆弱性に対する迅速な緩和が不可欠となる。

2023年2月16日にも Fortinet は、FortiNAC/FortiWeb 製品群に影響を及ぼす、2つの深刻なリモートコード実行の不具合を修正し、セキュリティ更新プログラムを直ちに適用するよう呼びかけていた。そして、僅か4日後に、この欠陥を活用する PoC エクスプロイトが公開され、2月22日の時点で活発な悪用が始まっていた。

この Fortinet の脆弱性 CVE-2023-25610 は、悪用されやすいということで、緊急事態的な対応になったと、お隣のキュレーション・チームが言っていました。このベンダーは、シェアも大きいだけに、影響がおよび範囲も広かったのだろうと推測されます。よろしければ、以下の関連記事も、ご参照ください。

2023/02/24:Fortinet の脆弱性 CVE-2022-39952
2023/02/17:FortiNAC/FortiWeb の深刻な脆弱性が FIX
2023/01/04:FortiADC/FortiTester 深刻な脆弱性が FIX
2022/12/13:FortiOS に緊急パッチ:認証バイパスの脆弱性