Fortinetのセキュリティアプライアンス「FortiGate」に危険な脆弱性が見つかった。だが、ユーザーの動きは鈍い。脆弱性を放置すると何が起こるのだろうか。
Fortinetの「FortiGate」はUTM(統合脅威管理)を実現するセキュリティアプライアンスとして広く使われている(注1)。それだけに、同社が2023年6月12日に公表した脆弱(ぜいじゃく)性には注意を払う必要がある。
サイバーセキュリティ企業のBishop Foxが2023年6月30日に発表した調査結果によると(注2)、ユーザー環境に置かれたFortiGateの3分の2以上は、今も脆弱性が残ったままだという。
攻撃的なセキュリティテストを実行したBishop Foxの研究者によると、インターネットに公開されている49万台が備えるFortiGateのSSL-VPNインタフェースが今回発表された脆弱性影響を受けていた。その中の約69%に該当する約33万8000台が未修正だという。
発表された脆弱性(CVE-2023-27997)を悪用すると、攻撃者がリモートから任意のコードまたはコマンドを実行できる恐れがあり、脆弱性を評価するCVSSスコアは10点満点中9.8で「緊急」に分類される(注3)。
サイバーセキュリティに関するアドバイザリー事業を営むCoalfireSystemsのアンドリュー・バラット氏(テクノロジーおよびエンタープライズアカウント担当バイスプレジデント)は次のように述べた。
「セキュリティアプライアンスでのリモートコードの実行は最悪の事態だ。これらのデバイスはネットワークの入り口にある。そのため、ユーザーはファイアウォールをオフラインにしてパッチテストを実行することはできない。さらに、これがビジネスにどのような影響を与えるかを検討できずにいるのだろう。そのため依然として脆弱性が残ったデバイスが放置されている」
Fortinetは顧客に対してFortiOSのアップグレードを促したり、FortiGateのSSL-VPNを無効にしたりするなどの回避策を講じるよう勧告している。同社は、これまでに脆弱性を悪用されたファイアウォールの数に関する回答を避けた。2023年6月12日のブログ投稿において「一部のファイアウォールが限られたケースで悪用されている可能性がある」と述べた(注4)。
「当社は引き続き状況を監視しており、顧客と積極的に連絡を取り、回避策を実行するか、アップグレードで脆弱性を軽減するよう強く求めている」(Fortinetの広報担当者)
今回の脆弱性はヒープベースのオーバーフローに関連する。調査の一環として、Bishop Foxは「約1秒で実行できるエクスプロイトを開発し、そのコードをブログで共有した」と述べた。
Bishop Foxのケイレブ・グロス氏(能力開発部門のディレクター)は「当社のエクスプロイトはヒープを破壊し、攻撃者が制御するサーバに接続し、BusyBoxのバイナリをダウンロードして対話型のシェルを開く」と述べた。攻撃者はリモートからシェルを通じて、コマンドを実行できる。
サイバーセキュリティの専門家は、依然としてSSL-VPNを実行中のFortiGateや、FortiOSの最新バージョンにアップグレードされていないFortiGateに関する問題は深刻で、有害なエクスプロイトが実行されてしまう恐れがあることを強調している(注5)。
サイバーセキュリティ事業を営むOntinueのアンドレ・ヴァン・デル・ヴァルト氏(脅威インテリジェンス・ディレクター)は「2023年に入ってから、複数のFortiGateの脆弱性が見つかった。その中でも、今回見つかったCVE-2023-27997が最も深刻だ」と指摘した。
「攻撃者がこの脆弱性を悪用してFortiGateを完全に制御することに成功した場合、データ侵害やランサムウェア攻撃、その他の深刻な結果を招く可能性がある。逆に言えば、組織が迅速に対応しなければならない重要な脆弱性を特定し、優先順位を付け、それらに対処するために強固な脆弱性管理施策を実行する必要があることを思い出させる良い機会だ。最終的には、高いレベルのセキュリティシステムを積極的に維持する必要がある」(ヴァルト氏)
出典:Most Fortinet FortiGate firewalls remain vulnerable to critical CVE(Cybersecurity Dive)
注1:フォーティネット、セキュリティアプライアンスの出荷台数で9年連続首位に(大手調査会社調べ)(Fortinet)
注2:CVE-2023-27997 Is Exploitable, and 69% of FortiGate Firewalls Are Vulnerable(Bishop Fox)
注3:CVE-2023-27997 Detail(National Institute of Standards and Technology)
注4:Analysis of CVE-2023-27997 and Clarifications on Volt Typhoon Campaign(Fortinet)
注5:Fortinet urges firmware upgrades after critical vulnerability at risk of malicious attacks(Cybersecurity Dive)
© Industry Dive. All rights reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。