Fortinet

本日、CISA は、FortiOS のリモート・コード実行(RCE)の重大な脆弱性を攻撃者が積極的に悪用しているこ とを明らかにしました。

この脆弱性(CVE-2024-23113)は、fgfmdデーモンが外部から制御されたフォーマット文字列を引数として受け取ることによって発生するもので、ユーザーによる操作を必要としない複雑度の低い攻撃において、未認証の脅威行為者がパッチの適用されていないデバイス上でコマンドや任意のコードを実行する可能性があります。

フォーティネットの説明によると、脆弱なfgfmdデーモンはFortiGateおよびFortiManager上で動作し、すべての認証リクエストを処理し、両者間のkeep-aliveメッセージを管理します(ファイルやデータベースの更新を他のプロセスに指示するなど、結果として生じるすべてのアクションも同様です)。

CVE-2024-23113は、FortiOS 7.0以降、FortiPAM 1.0以降、FortiProxy 7.0以降、およびFortiWeb 7.4に影響します。

同社は、潜在的な攻撃をブロックするための緩和策として、すべてのインターフェイスの fgfmd ダモンへのアクセスを削除するよう管理者に助言した2月に、このセキュリティ上の欠陥を公開し、パッチを適用しました。

「FortiManagerからFortiGateを検出できなくなることに注意してください。FortiGateからの接続は可能です。

「また、特定のIPからのFGFM接続のみを許可するローカルインポリシーは、攻撃対象領域を縮小しますが、このIPから脆弱性が悪用されることを防ぐことはできません。結果として、これは緩和策として使用されるべきであり、完全な回避策ではありません。”

連邦政府機関は3週間以内にパッチを当てるよう命令

フォーティネットは、CVE-2024-23113の悪用を確認するための2月のアドバイザリをまだ更新していないが、CISAは水曜日にこの脆弱性をKnown Exploited Vulnerabilities Catalogに 追加した

米国連邦政府機関もまた、2021年11月に発行された拘束的運用指令(BOD 22-01)で義務付けられているとおり、10月30日までに3週間以内に、ネットワーク上のFortiOSデバイスをこれらの進行中の攻撃から保護することが求められるようになりました。

サイバーセキュリティ機関は、「この種の脆弱性は、悪意のあるサイバーアクターにとって頻繁な攻撃ベクトルであり、連邦政府企業にとって重大なリスクとなる」と警告している。

オランダ軍情報セキュリティ局(MIVD)は6月、中国のハッカーが2022年から2023年にかけて、別の重要なFortiOS RCEの脆弱性(CVE-2022-42475)を悪用して、少なくとも2万台のFortigateネットワーク・セキュリティ・アプライアンスに侵入し、マルウェアに感染させたと警告しました。