Fortinet、FortiOS/FortiProxyの重大なRCE脆弱性について注意喚起:CVE-2023-33308
Fortinetは11日、FortiOSとFortiProxyにおける深刻度の高いリモートコード実行の脆弱性CVE-2023-33308に関するPSIRTアドバイザリを公開し、対応を呼びかけた。同脆弱性は以前までにリリース済みのバージョンですでに修正されていたものの、対応するアドバイザリは今回初めて公開されている。
CVE-2023-33308:FortiOS、FortiProxyにおけるスタックベースのバッファオーバーフロー
CVE-2023-33308は、FortiOSおよびFortiProxyにおけるスタックベースのバッファオーバーフローの脆弱性と説明されている。この脆弱性が遠隔の攻撃者に悪用されると、SSLインスペクションの「deep-inspection」モードと併せてプロキシモードが使用されている際に、プロキシポリシーやファイアウォールポリシーに細工したパケットを到達させることにより、任意のコードやコマンドの実行が可能となる恐れがある。
RCEにつながり得る同脆弱性について、Fortinetは深刻度を最高レベルの「Critical」と評価している。またCVSSスコアも9.8/10と高い数値になっている。
影響を受けるバージョン
CVE-2023-33308の影響を受けるバージョンは以下。
【FortiOS】
・バージョン7.2.0〜7.2.3
・バージョン7.0.0〜7.0.10
【FortiProxy】
・バージョン7.2.0〜7.2.2
・バージョン7.0.0〜7.0.9
修正済みのバージョン
CVE-2023-33308は、すでにリリース済みの以下のバージョンにおいて修正されている。
【FortiOS】
・バージョン7.2.4以降
・バージョン7.0.11以降
【FortiProxy】
・バージョン7.2.3以降
・バージョン7.0.10以降
(情報源:Foritnet “FortiOS/FortiProxy – Proxy mode with deep inspection – Stack-based buffer overflow”)
「OfficeのゼロデイがNATOサミット関連の攻撃で悪用されている」とマイクロソフト:CVE-2023-36884
マイクロソフトは11日に脆弱性アドバイザリとブログ記事を公開し、複数のWindowsおよびOffice製品におけるパッチ未リリースのゼロデイ脆弱性CVE-2023-36884が実際のサイバー攻撃で悪用されていることを公表した。CVE-2023-36884は、脅威グループStorm-0978(RomCom)による最近のNATOサミットに関連した攻撃で悪用されているという。
CVE-2023-36884:OfficeとWindowsにおけるリモートコード実行のゼロデイ脆弱性
CVE-2023-36884は複数のWindowsおよびOffice製品における脆弱性で、攻撃者がこれを悪用し、特別な細工が施されたMicrosoft Officeドキュメントを作成することでリモートコード実行が可能となる恐れがある。CVSSスコアは8.3で、マイクロソフトは深刻度を「Important(重要)」と評価している。同脆弱性のパッチはまだリリースされていないが、マイクロソフトはアドバイザリ内で緩和策を提供している。
RomComによるCVE-2023-36884を悪用した攻撃
マイクロソフトは、ヨーロッパや北米の防衛関連組織や政府関連組織を狙った脅威アクター「Storm-0978」(DEV-0978、RomCom)によるフィッシングキャンペーンを特定しており、この攻撃においてCVE-2023-36884が悪用されていたと述べている。悪用は、実在の組織である「ウクライナ世界会議(UWC)」が作成者であるかのように見せかけた有害なWordドキュメントを使って行われていたという。攻撃は、その後MagicSpellローダーやRomComバックドアを投下して被害者から情報を窃取しようとするものだったとされる。
フィッシングキャンペーンは2023年6月に検出されており、7月11、12日にリトアニアで開催されるNATO首脳会合に出席するウクライナやその他の国々を狙ったもの。なおこのフィッシングについては、BlackBerryも7月8日に公開したブログ記事の中で詳しく解説していた。
(情報源:マイクロソフト “Storm-0978 attacks reveal financial and espionage motives“、BleepingComputer “Microsoft: Unpatched Office zero-day exploited in NATO summit attacks”)