1. 概要
Fortinet社製品に搭載されている「FortiOS」で、深刻な脆弱性(CVE-2023-27997)が存在することが報告されました。この脆弱性の悪用はすでに確認されており、6月13日に情報処理推進機構(IPA)にて注意喚起が行われています。
本脆弱性のCVSS v3スコアは9.8(Critical)と極めて危険度が高く、対策済みのバージョンへのアップデートを至急実施する必要があります。
2. 脆弱性情報詳細
(1) 攻撃概要
FortiOSには、SSL暗号化を用いて仮想的な専用通信網を構築できるSSL-VPN機能があります。この FortiOSのSSL-VPN機能において、ヒープベースのバッファオーバーフローの脆弱性が確認されています。バッファオーバーフローとはコンピュータのメモリ上で確保された領域(バッファ)の許容量を超えたデータを書き込めてしまう脆弱性です。
本脆弱性が悪用されると、認証されていない遠隔の第三者によって細工したリクエストを送信され、任意のコードやコマンドを実行される可能性があります。
【図1】バッファオーバーフロー攻撃のイメージ
本脆弱性(CVE-2023-27997)はFortinet社による、2022年12月に公表されたFortiOSのSSL-VPN機能における脆弱性(CVE-2022-42475)に対する監査により発見されたものです。
CVE-2022-42475の詳細は以下の過去に取り上げたセキュリティニュースをご参照ください。
『【号外】注意喚起:FortiOSの脆弱性情報(CVE-2022-42475)について』(2022年12月)
https://www.ssk-kan.co.jp/topics/?p=12812
(2) 影響を受けるシステム
- FortiOS バージョン 7.2.0 から 7.2.4
- FortiOS バージョン 7.0.0 から 7.0.11
- FortiOS バージョン 6.4.0 から 6.4.12
- FortiOS バージョン 6.2.0 から 6.2.13
- FortiOS バージョン 6.0.0 から 6.0.16
- FortiProxy バージョン 7.2.0 から 7.2.3
- FortiProxy バージョン 7.0.0 から 7.0.9
- FortiProxy バージョン 2.0.0 から 2.0.12
- FortiProxy 1.2 系の全てのバージョン
- FortiProxy 1.1 系の全てのバージョン
- FortiOS-6K7K バージョン 7.0.10
- FortiOS-6K7K バージョン 7.0.5
- FortiOS-6K7K バージョン 6.4.12
- FortiOS-6K7K バージョン 6.4.10
- FortiOS-6K7K バージョン 6.4.8
- FortiOS-6K7K バージョン 6.4.6
- FortiOS-6K7K バージョン 6.4.2
- FortiOS-6K7K バージョン 6.2.9 から 6.2.13
- FortiOS-6K7K バージョン 6.2.6 から 6.2.7
- FortiOS-6K7K バージョン 6.2.4
- FortiOS-6K7K バージョン 6.0.12 から 6.0.16
- FortiOS-6K7K バージョン 6.0.10
(3) 対策
すでに本脆弱性の悪用を試みる通信が確認されていることから、影響を受けるシステムを利用している場合、速やかな対応が必要です。Fortinet社から本脆弱性を修正した下記のバージョンへのアップデートが推奨されています。
- FortiOS バージョン 7.4.0 あるいはそれ以降
- FortiOS バージョン 7.2.5 あるいはそれ以降
- FortiOS バージョン 7.0.12 あるいはそれ以降
- FortiOS バージョン 6.4.13 あるいはそれ以降
- FortiOS バージョン 6.2.14 あるいはそれ以降
- FortiOS バージョン 6.0.17 あるいはそれ以降
- FortiProxy バージョン 7.2.4 あるいはそれ以降
- FortiProxy バージョン 7.0.10 あるいはそれ以降
- FortiOS-6K7K バージョン 7.0.12 あるいはそれ以降
- FortiOS-6K7K バージョン 6.4.13 あるいはそれ以降
- FortiOS-6K7K バージョン 6.2.15 あるいはそれ以降
- FortiOS-6K7K バージョン 6.0.17 あるいはそれ以降
また、SSL-VPN機能の無効化によって本脆弱性を回避することも可能です。
(4) 侵害調査
対策の適用に加えて、脆弱性を悪用する攻撃の被害を受けていないか確認するため、次のような調査の実施が有効であると考えられます。
- 機器のログに脆弱性の悪用を示すログが記録されていないか
- 機器に不審なファイルが設置されていないか
- 機器から不審な通信先への通信が発生していないか
3. まとめ
本記事では、FortiOSのSSL-VPN機能における最新の脆弱性(CVE-2023-27997)について詳細および対策・調査方法を紹介いたしました。すでに当該脆弱性の悪用が確認されているため、当該製品をご利用の場合は速やかに修正済みバージョンの適用を行うことを推奨いたします。
4. 参考情報
・IPA
Fortinet 製 FortiOS および FortiProxy の脆弱性対策について(CVE-2023-27997)
https://www.ipa.go.jp/security/security-alert/2023/alert20230613.html
・Fortinet
FortiOS & FortiProxy - Heap buffer overflow in sslvpn pre-authentication
https://www.fortiguard.com/psirt/FG-IR-23-097
・Fortinet Blog
Analysis of CVE-2023-27997 and Clarifications on Volt Typhoon Campaign
https://www.fortinet.com/blog/psirt-blogs/analysis-of-cve-2023-27997-and-clarifications-on-volt-typhoon-campaign
5. SSKのセキュリティ運用監視サービスおよび脆弱性診断サービスについて
SSKのセキュリティ運用監視サービスでは、24時間365日、リアルタイムでセキュリティログの有人監視を行っております。サイバー攻撃への対策としてセキュリティ機器を導入する場合、それらの機器の運用監視を行い、通信が攻撃かどうかの分析、判断をして、セキュリティインシデント発生時に適切に対処できるようにすることが重要です。セキュリティ運用監視サービスのご活用により、迅速なセキュリティインシデント対応が可能となります。
また、脆弱性診断サービスでは、お客様のシステムを診断し、検出された脆弱性への対策をご提案させていただいております。テレワークの常態化やIoT等のデバイスの多様化が進む昨今、特定の攻撃経路だけを想定した「境界防御」に加えて、脆弱性を把握・管理・対処する『本質防御』も必須となっています。脆弱性診断サービスのご活用により、お客様のシステムにおける脆弱性の存否が明らかになります。
セキュリティ運用監視サービスや脆弱性診断サービスをご活用いただきますと、セキュリティインシデントの発生を予防、また発生時にも迅速な対処が可能なため、対策コストや被害を抑えることができます。
■SSKの総合セキュリティサービス
44年以上に渡って築き上げてきたIT運用のノウハウと、最新技術を結集したSSKのセキュリティ運用監視センター。
この2つを融合させることによりお客様の情報セキュリティ全体をトータルにサポートするのがSSKの総合セキュリティサービスです。
人材・運用監視・対策支援という3つのサービスを軸に全方位のセキュリティサービスを展開しています。
【参考URL】
https://www.ssk-kan.co.jp/e-gate/
※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。
リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標または商標です。
≪お問合せ先≫
サービス&セキュリティ株式会社
〒150-0011
東京都渋谷区東3丁目14番15号 MOビル2F
TEL 03-3499-2077
FAX 03-5464-9977
sales@ssk-kan.co.jp