2025/06/10 CyberSecurityNews — Fortinet が公表したのは、OS コマンド・インジェクションの脆弱性 CVE-2023-42788 (CWE-78) として分類される、深刻なセキュリティ欠陥への対処である。この脆弱性は、FortiManager/FortiAnalyzer など、複数の製品に既に影響を及ぼすものだ。しかし、今日になって Fortinet は、この脆弱性の影響が FortiAnalyzer-Cloud にも波及し、低権限のローカル攻撃者による、不正なコード実行のリスクがあることを確認した。
脆弱性の詳細
この脆弱性 CVE-2023-42788 は、OSコマンドで使用される特殊要素の不適切な無効化に起因しており、CLI コマンドに細工した引数を入力する攻撃者に対して、不正なコード実行を許す可能性があるものだ。
この脆弱性は、Orange Innovation/Orange CERT-CC のセキュリティ研究者である Loic Restoux により発見され、責任あるかたちで開示/報告された。
この問題は、以前に確認された脆弱性 CVE-2021-26104 の続報でもある。この脆弱性に対する当初の修正が不完全であったことで、CLI インターフェイスのセキュリティ確保における、継続的な課題が浮上したことになる。
技術的な詳細によると、この脆弱性は特定の CLI コマンドに、特に diagnose system/export/umlog/ftp/fmwslog などのコマンドに影響するものであり、パラメータに対する不適切なサニタイズが判明している。
攻撃者は、tar コマンドのオプション (–checkpoint/–checkpoint-action など) を用いて対話型のルート・シェルを起動し、権限を大幅に昇格させることで、この脆弱性を悪用する可能性を手にする。
PoC エクスプロイトが浮き彫りにするのは、細工されたパラメータを用いる FTP 転送を介して、この脆弱性を悪用する様子である。
FortiManager/FortiAnalyzer/FortiAnalyzer-BigData における、OS コマンドで使用される特殊要素の不適切な無効化の脆弱性により、低権限のローカル攻撃者であっても、CLI コマンドに入力する細工した引数を介して、不正なコード実行の可能性を得ると、Fortinet は警告している。
影響を受ける製品とバージョン
この脆弱性は、以下の表に示すように、広範な FortiManager Cloud 製品群とバージョンに影響を及ぼす。
| Version | Affected | Solution |
|---|---|---|
| FortiManager Cloud 7.4 | Not affected | Not Applicable |
| FortiManager Cloud 7.2 | 7.2.1 through 7.2.3 | Upgrade to 7.2.4 or above |
| FortiManager Cloud 7.0 | 7.0.1 through 7.0.8 | Upgrade to 7.0.9 or above |
| FortiManager Cloud 6.4 | 6.4 all versions | Migrate to a fixed release |
この表は、Fortinet の公式アドバイザリに基づいている。ユーザーにとって必要なことは、自社のシステムの危険度を特定し、適切な対策を講じることである。
CVE-2023-42788 の深刻度は、CVSSv3 スコアで 7.6 (High) と評価されている。この脆弱性から生じる潜在的な影響としては、ルート権限による任意のコマンド実行も含まれるため、システム全体への侵害につながる可能性がある。
CVSS v3 のメトリクスでは、攻撃ベクターがローカル/攻撃の複雑さが低い/高い権限が必要/ユーザーによる操作が不要/攻撃範囲が変更されていないことに加え、機密性/整合性/可用性への影響が大きいことが示されている。
推奨されるアクションと緩和策
Fortinet が強く推奨するのは、影響を受ける製品ごとに指定される、修正バージョンへとアップグレードし、リスクを軽減することだ。ルート・シェル・アクセスを実証する PoC が提供され、悪用が懸念されているため、これらのアップデートは不可欠なものとなる。
パッチ適用に加えて、組織にとって必要なことは、ローカル・アクセスを制限するための厳格なアクセス制御の実施/システムログ監視による不審なアクティビティの検出/セキュリティ監査の実施である。これらの対策は、潜在的な悪用試行を検出し、全体的なセキュリティ体制を強化するのに役立つ。
Fortinet アドバイザリのタイムラインには、2023年5月31日の最初の報告と、2023年10月10日の修正公開が含まれている。その後の 2025年1月27日に、FortiAnalyzer/FortiAnalyzer-BigData が追加され、2025年5月13日に FortiManager Cloud が、2025年6月10日には FortiAnalyzer-Cloud が更新され、この問題への包括的な対策が、継続的に実施されている状況が見て取れる。
過去の修正が不完全だったことで、脅威として再浮上してきた CVE-2023-42788は、CLI レベルの権限を持つローカル・ユーザーでもあっても、ルート・シェル取得が可能になるというものです。PoC 公開も進んでいるため、速やかなアップデート対応が不可欠だと、Fortinet は警告しています。ご利用のチームは、ご注意ください。よろしければ、Fortinet で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.