Fortinet Patches Critical FortiOS Vulnerability Leading to Remote Code Execution
2023/07/12 SecurityWeek — 7月11日 (火) に Fortinet は、FortiOS/FortiProxy に存在する、深刻なリモート・コード実行 (RCE) の脆弱性に対処するセキュリティ・アップデートを発表した。この脆弱性 CVE-2023-33308 (CVSS:9.8) は、プロキシ・モードのディープ・インスペクション機能に影響をおよぼす、スタック・オーバーフローに起因すると説明されている。
Fortinet のアドバイザリには、「FortiOS および FortiProxy のスタッ・オーバーフローの脆弱性により、SSL ディープ・パケット・インスペクションとプロキシ・モードを併用する、プロキシ/ファイアウォール・ポリシーに到達するリモート攻撃者が、細工されたパケットを介して任意のコード/コマンドを実行する可能性が生じる」と記されている。
この問題は、プロキシ。ポリシーまたはプロキシ・モード付きのファイアウォール・ポリシーでディープ・インスペクションが有効化されている場合にのみ発生するため、この機能を無効にすることで、悪用を防ぐことができると、同社は説明している。
この脆弱性は、FortiOS/FortiProxy の バージョン 7.2.x/7.0.x に影響を及ぼし、FortiOS のバージョン 7.4.0/7.2.4/7.0.11 および、FortiProxy のバージョン7.2.3/7.0.10 で解決されている。
Fortinet は、このバグは以前のリリースで対処され、そのときにはアドバイザリは提供されていないと指摘している。
7月11日 (火) に同社は、削除されたユーザー・セッションを攻撃者に再利用される可能性のある、FortiOS の Medium 脆弱性に対するパッチも発表している。この脆弱性 CVE-2023-28001 は、API 管理者を削除した後であっても、既存の Web ソケット接続が持続されるため存在し続ける。
Fortinet は、「FortiOS REST API のセッション有効期限が不十分な脆弱性により、攻撃者が API トークンを取得できた場合において、削除されたユーザー・セッションが再利用される可能性がある」と説明している。この脆弱性は、FortiOS バージョン7.2.x/7.0.xに影響し、FortiOS バージョン 7.4.0 で対処されている。
Fortinet の FortiOS/FortiProxy におけるリモート・コード実行の脆弱性が FIX したとのことです。ただし、FIX 自体は以前のリリースで対応されており、その情報が新たに公表されたようです。Fortinet の、この情報公開に関するポリシーに対しては、ユーザーを混乱させるという意味で、先日に批判されていたという記憶があります。よろしければ、Fortinet で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.