Fortinet EMS の RCE 脆弱性 CVE-2023-48788 が FIX：直ちにアップデートを！

Fortinet Warns of Yet Another Critical RCE Flaw

2024/03/15 DarkReading — Fortinet は、エンドポイント・デバイス管理ツールである FortiClient Enterprise Management Server (EMS) に存在する、リモート・コード実行 (RCE：Remote Code Execution) の深刻な脆弱性にパッチを適用した。この脆弱性 CVE-2023-48788 は、サーバのダイレクト接続ストレージ・コンポーネントにおける、SQL インジェクション・エラーに起因する。この脆弱性の悪用に成功した未認証の攻撃者は、特別に細工されたリクエストを使用して、影響を受けるシステム上の管理者権限で、任意のコードやコマンドを実行することが可能になる。

きわめて深刻な脆弱性

Fortinet は、この脆弱性の深刻度を CVSS スコア 9.3 と評価しており、NVD (National Vulnerability Database) も 9.8 と評価している。この脆弱性は、FortiClient EMS 7.2／7.0 の複数のバージョンに存在している。Fortinet が強く推奨するのは、影響を受けるバージョンを使用している組織における、新たにパッチを適用した FortiClient EMS 7.2.3／7.0.11 以上へのアップグレードである。

Fortinet の発表によると、この脆弱性の発見者は、FortiClient EMS 開発チームの研究者たちと、英国の NCSC (National Cyber Security Center) であるという。

同社のアドバイザリには、脆弱性に関する詳細はほとんど記載されていない。しかし、来週には Horizon3.ai の研究者たちが、この脆弱性の侵害の指標 (IoC：Indicator of Compromise)／PoC (Proof-of-concept) エクスプロイト・コード／技術的詳細などを発表すると、3月14日の投稿で述べている。Horizon3.ai の研究者たちは、過去にも Fortinet の技術に関する複数のバグを報告している。

現時点において、この脆弱性が悪用されたという報告はない。しかし、技術的詳細と PoC が公開されると、直ちに状況が変化する可能性がある。つまり、攻撃が始まる前において、組織が脆弱性に対処するための時間は、比較的少ないということだ。

人気のターゲットである Fortinet 製品

Tenable は CVE-2023-48788 のアドバイザリで、「2019年以降から、Fortinet のデバイスにおいては、いくつかの注目すべき脆弱性が観測され、攻撃者に頻繁に狙われてきた」と警告している。同社は、悪用の例として、Fortinet FortiOS／FortiProxy の複数のバージョンに存在する、ヒープバッファ・オーバーフローの脆弱性 CVE-2023-27997 を挙げている。また、脅威アクターがイニシャル・アクセス目的で販売した、FortiOS／FortiProxy／FortiSwitch Manager の認証バイパスの脆弱性 CVE-2022-40684 についても、悪用の事例があると指摘している。

Tenable は、「Fortinet デバイスにおける、その他の脆弱性は、国家に支援される複数の脅威アクターや、Conti のようなランサムウェア・グループの標的となっている。 この数年において Fortinet の脆弱性は、日常的に悪用される脆弱性リストの上位にランクインしている」と述べている。

Fortinet の脆弱性は、米国の CISA (Cybersecurity Infrastructure and Security) や NSA (National Security Agency) なども取り上げており、国家支援の脅威アクターがキャンペーンで頻繁に悪用している脆弱性だと警告されている。これらの警告のうち、最も新しいものは、Volt Typhoon をはじめとする中国由来の APT グループが、米国の重要インフラ・ネットワークに侵入し、持続的なアクセスを維持しようとした試みだという。

パッチ未適用の Fortinet の２つの脆弱性

3月14日には、2023年に Fortinet に報告された 16件の脆弱性の詳細が、Horizon3.ai の研究者たちにより公開された。これらの脆弱性は、Fortinet の Wireless LAN Manager (WLM) と FortiSIEM に影響を及ぼすものであり、その中のいくつかの脆弱性について、Horizon は脅威度を Critical と評価している。

Horizon3.ai が詳細を公開した脆弱性の中で、CVE-2023-34993／CVE-2023-34991／CVE-2023-42783／CVE-2023-48782  については、ブログで以下のように説明されている：

• CVE-2023-34993：コマンド・インジェクションの脆弱性：この脆弱性の悪用に成功した未認証の攻撃者は、特別に細工されたリクエストを使用して、影響を受けるエンドポイントで任意のコードを実行する可能を得る。
• CVE-2023-34991：SQL インジェクションの脆弱性：この悪用に成功した攻撃者は、Fortinet WLM に組み込まれた画像リスト機能にアクセスして、悪用することが可能になる。
• CVE-2023-42783：相対パス・トラバーサルの脆弱性：認証されていない攻撃者が、影響を受けるシステム上で、ファイルを任意に読み取ることが可能になる。
• CVE-2023-48782：コマンド・インジェクションの脆弱性。

また、2024年3月13日の時点でパッチが適用されておらず、CVE ID が割り当てられていない脆弱性が２つ発見された。これに対して Horizon3.ai は、認証されていない限定的なログファイル読み取りバグと、静的セッション ID の脆弱性だと、それぞれを特定している。

FortiClient の Enterprise Management Server (EMS) に存在する、リモート・コード実行の脆弱性 CVE-2023-48788 にパッチが適用されました。Horizon3.ai の研究者たちが、PoC エクスプロイトの影響を予定しているようなので、ご利用のチームは、ご注意ください。よろしければ、Fortinet で検索も、ご利用ください。