Fortinet patches pre-auth RCE, update your Fortigate firewalls ASAP! (CVE-2023-27997)
2023/06/11 HelpNetSecurity — Fortinet の Fortigate ファイヤーウォールなどを駆動する、OS/Firmware である FortiOS の複数のバージョンがリリースされた。しかし同社は、その中に含まれるリモートコード実行 (RCE) の脆弱性 CVE-2023-27997 が、ログインしていない攻撃者に悪用される危険なものであることに言及していなかった。この脆弱性は、FortiOS のバージョン 7.2.5/7.0.12/6.4.13/6.2.15 で修正されているが、明らかに v6.0.17 (昨年に Fortinet は v6.0 ブランチのサポートを正式終了) においても修正されていた。
エンタープライズ管理者に対しては、可能な限り早急に Fortigate デバイスをアップグレードすることが推奨される。この脆弱性が、現時点で攻撃者に悪用されていない場合であっても、すぐに悪用される可能性がある。
脆弱性 CVE-2023-27997 について
この脆弱性の正確な性質は、現在のところ、公には不明とされている。Olympe Cyberdefense によると、Fortinet は 2023年6月13日 (火) に詳細を公開する予定とのことだ。
Olympe によると、この脆弱性は深刻であり、Fortigate firwallのSSL VPN 機能に影響し、MFA が有効化されていても、VPN 経由で攻撃者が干渉する可能性がある という。
Lexfo のセキュリティ研究者である Dany Bach と Charles Fol は、リモートコード実行の脆弱性 CVE-2023-27997 は、すべての SSL VPN アプライアンスにおいて、認証前に到達可能とし、後日に詳細を発表する予定だと述べている。
現在のところ、回避策については言及されていない。
迅速なパッチ適用が必須
エンタープライズの防御者にとって残念なことだが、脅威アクターたちは OS の新旧うバージョンを比較して、パッチが何をするのかを見つけ、その情報に基づいて動作するエクスプロイトを開発できる。そして、Fortigate ファイアウォールに影響を及ぼす脆弱性は、過去において脅威アクターたちの人気のターゲットだった。
また、Fortinet は、積極的な悪用の有無に関わらず、脆弱性の深刻さには言及せずに、重要な修正プログラムを配布することで知られている。したがって、企業の管理者は、迅速に行動し、可能な限り早急にパッチを実装する必要がある。
利用可能なアップデートが、デバイスのダッシュボードに表示されない場合には、デバイスを再起動することで表示される場合もある。それでも表示されない場合には、手作業でダウンロード/インストールすることを推奨する。
この記事を読む限り、Fortinet はパッチを提供する際に、危険な脆弱性に対処したとしても、そのことを顧客に伝えないスタイルを持っているようです。今回は、それが災いして、ちょっとした騒ぎになってしまったようにも思えます。文中にもありように、悪用が多発するベンダーでもあるので、もう少し考えてほしいです。
2023/05/05:Fortinet の深刻な脆弱性が FIX:任意のコマンド実行
2023/04/12:Fortinet 製品群へのパッチ適用:Redis/MongoDB
2023/03/16:Fortinet のゼロデイ悪用:背後の中国系ハッカー集団とは?
2023/03/13:Fortinet の 脆弱性 CVE-2022-41328:悪用される
IoT OT Security News 
You must be logged in to post a comment.