多数のFortinetインスタンスが現在悪用されている欠陥に対して脆弱と判明(CVE-2024-23113)
The Register – Mon 14 Oct 2024
米CISAが9日、KEVカタログ(悪用が確認済みの脆弱性カタログ)に追加し、連邦政府各機関に対応を呼びかけていたFortiOSのCVE-2024-23113。Shadowserverが公開した10月13日時点のデータによると、8万6,000以上のFortinetインスタンスがいまだこの欠陥に対して脆弱だという。また、当該欠陥の影響を受けている機器の大半がアジア(38,778台)に位置していることや、北米(21,262台)とヨーロッパ(16,381台)がこれに続いていることが明らかとなった。なお、日本における脆弱なインスタンス数は「5,184」。
CVE-2024-23113は、fgfmdデーモンのフォーマット文字列に関するRCEの脆弱性。認証されていない攻撃者に利用されると、デバイス上でのコマンドや任意コードの実行が可能になる恐れがある。CVSS v3スコアは9.8で、深刻度としては最高レベルに位置付けられる。
この脆弱性は2月に初めて公表されたが、その頃サイバー犯罪者らは、ほぼ同時期に修正された他の深刻なバグを使った攻撃を試みていた。同脆弱性が攻撃者の注目を集めるようになったのは最近のことで、その理由はわかっていない。
また、ランサムウェア攻撃でこの脆弱性が使用されているかどうかも不明なままだという。
CVE-2024-23113の影響を受けるのはFortiOS、FortiPAM、FortiProxy、FortiWebのさまざまなバージョン。管理者はバージョンをアップグレードするか、Fortinetのアドバイザリに記載された緩和策を実施することが推奨される。
ランサムウェアレポート無料配布中!
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠