FortiOS のゼロデイ CVE-2022-42475 が FiX:高度かつ活発な悪用を検出

Fortinet: Govt networks targeted with now-patched SSL-VPN zero-day

2023/01/12 BleepingComputer — Fortinet によると、2022年12月にパッチ適用された FortiOS SSL-VPN のゼロデイ脆弱性を悪用する脅威アクターが、政府の機関や関連組織にターゲットを狙った攻撃を行っていたことが判明した。一連のインシデントで悪用されたのは、FortiOS SSL-VPN に存在するヒープバッファ・オーバーフローの脆弱性 CVE-2022-42475 であり、認証されていないリモートの攻撃者に対して、デバイスの毀損やコード実行を許すものである。

Continue reading “FortiOS のゼロデイ CVE-2022-42475 が FiX:高度かつ活発な悪用を検出”

Fortinet FortiOS に緊急パッチ:認証バイパスの脆弱性 CVE-2022-42475 の悪用に対応

Fortinet Warns of Active Exploitation of New SSL-VPN Pre-auth RCE Vulnerability

2022/12/13 TheHackerNews — 月曜日に Fortinet は、同社の SSL-VPN 製品 FortiOS に影響を及ぼす深刻なセキュリティ脆弱性に対して緊急パッチをリリースし、この脆弱性が実際に悪用されていることを明らかにした。この深刻な脆弱性 CVE-2022-42475 (CVSS:9.3) は、ヒープベース・バッファ・オーバーフローの脆弱性であり、認証されていない攻撃者による、特別に細工したリクエストを介した任意のコード実行を引き起こす可能性がある。

Continue reading “Fortinet FortiOS に緊急パッチ:認証バイパスの脆弱性 CVE-2022-42475 の悪用に対応”