Fortinet製品にOSとして搭載されている「FortiOS」の「SSL VPN」機能に深刻な脆弱性が見つかった問題で、すでに悪用が確認されていることがわかった。攻撃キャンペーン「Volt Typhoon」との関連性などは見つかっていないという。
問題の脆弱性「CVE-2023-27997」は、ヒープベースのバッファオーバーフローの脆弱性。同社では現地時間6月12日にアドバイザリをリリースし、利用者に注意喚起を行っている。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度はもっとも高い「クリティカル(Critical)」とレーティングされている。同社ではアップデートを提供するとともに、「SSL VPN」を無効化する緩和策などを示した。
同社は同脆弱性を発見した経緯として、「CVE-2022-42475」の悪用が明らかとなったことを受け、「SSL VPN」のモジュールにおけるコードの監査を進めてきたと説明。
外部関係者の情報提供などもあり、今回の「CVE-2023-27997」のほか、1月以降、「CVE-2023-29180」「CVE-2023-22640」「CVE-2023-29181」「CVE-2023-29179」「CVE-2023-22641」など「FortiOS」の「SSL VPN」機能に関する脆弱性6件へ対応してきたと説明。
これら脆弱性のうち、今回の「CVE-2023-27997」については「限られたケース」としつつも、実際に脆弱性が悪用された可能性があることが判明したことを明らかにした。
「CVE-2023-27997」が悪用された具体的な被害状況などは明かさなかった。
6月12日の段階で対策としては、パッチの適用、回避策を示すにとどめており、「CVE-2023-27997」の悪用に関して侵害調査の必要性や、侵害判明後の対応についても特に言及していない。
同社は、中国が関与したとされる攻撃キャンペーン「Volt Typhoon」で同社製品の脆弱性が初期侵入に悪用されたとの指摘が出ていることについて、2022年10月に明らかとなった「CVE-2022-40684」が標的となったものと説明。
6月12日の段階で「Volt Typhoon」において「CVE-2023-27997」が悪用されたとの情報はないとしている。
同社は、推奨される対策として、今回リリースしたパッチの適用にくわえて、システムにおいて「CVE-2022-40684」などの侵害を受けていないか確認したり、使用していない機能の無効化、「FortiOS 7.2.0」における強靭化ガイドの推奨事項などを実施するよう求めている。