セキュリティ
2023年6月 セキュリティ情報(FortiOS 及びFortiProxy の脆弱性[CVE-2023-27997]など)
目次
ご挨拶
「セキュリティの町医者」を目指し日々精進している三浦です。
早速ですが、2023年6月に収集した脆弱性/インシデント情報から注目いたしました各種情報を掲載いたします。
セキュリティ対策や推進に少しでもご活用いただければ幸いです。
注目した脆弱性(FortiOS 及びFortiProxy の脆弱性[CVE-2023-27997])
情報公開日:2023/6/12(現地時間)
| 一次情報元(引用元) |
"FortiGurad Labs[Fortinet]" FortiOS & FortiProxy - Heap buffer overflow in sslvpn pre-authentication |
| その他、情報ソース |
"CISA" CISA Adds One Known Exploited Vulnerability to Catalog [Release DateJune 13, 2023] "IPA" Fortinet 製 FortiOS および FortiProxy の脆弱性対策について(CVE-2023-27997) "Cybersecurity Help" Unauthenticated remote code execution in FortiOS and FortiProxy SSL-VPN |
| CVE番号及び深刻度 | CVE番号:CVE-2023-27997 深刻度:Critical (CVSSv3スコア 9.2) |
| 脆弱性内容 | FortiOS および FortiProxy SSL-VPN のヒープベースのバッファ オーバーフローの脆弱性 [CWE-122] により、リモート攻撃者が特別に作成されたリクエストを介して任意のコードまたはコマンドを実行できる可能性があります。 (A heap-based buffer overflow vulnerability [CWE-122] in FortiOS and FortiProxy SSL-VPN may allow a remote attacker to execute arbitrary code or commands via specifically crafted requests.) |
| 想定される影響 | 当該製品の乗っ取り、DoS、情報漏えいなど不特定多数の影響を受ける可能性があります。 |
| 影響を受ける製品 |
FortiOS-6K7K version 7.0.10 FortiOS-6K7K version 7.0.5 FortiOS-6K7K version 6.4.12 FortiOS-6K7K version 6.4.10 FortiOS-6K7K version 6.4.8 FortiOS-6K7K version 6.4.6 FortiOS-6K7K version 6.4.2 FortiOS-6K7K version 6.2.9 through 6.2.13 FortiOS-6K7K version 6.2.6 through 6.2.7 FortiOS-6K7K version 6.2.4 FortiOS-6K7K version 6.0.12 through 6.0.16 FortiOS-6K7K version 6.0.10 FortiProxy version 7.2.0 through 7.2.3 FortiProxy version 7.0.0 through 7.0.9 FortiProxy version 2.0.0 through 2.0.12 FortiProxy 1.2 all versions FortiProxy 1.1 all versions FortiOS version 7.2.0 through 7.2.4 FortiOS version 7.0.0 through 7.0.11 FortiOS version 6.4.0 through 6.4.12 FortiOS version 6.2.0 through 6.2.13 FortiOS version 6.0.0 through 6.0.16 FortiSASE is no longer impacted, issue remediated Q2/23 |
| 解決策 | ・当該脆弱性に対応したバージョンへのUpdate ⇒詳細については「一次情報元(引用元)」でご確認ください。 ・回避策:SSL-VPNを無効にする |
| コメント | 注目した理由は、令和4年に警察庁が行った「ランサムウェア被害の実態調査」にて、侵入経路第一位となっている「VPN機器からの侵入」に関連する脆弱性で、初期侵入に悪用される可能性が非常に高い点、既に本脆弱性が悪用確認済みである点です。 早急に対応を行うことを強くお勧めいたします。 |
その他、注目した脆弱性/ソフトウェアUpdate情報
2023年5月下旬の脆弱性情報も含まれております。
| 日付 | ソフトウエア | 情報/コメント |
| 2023/5/30 | Google Chrome | Google 社はPC版及びAndroid版/iOS版のWeb ブラウザ Google Chromeのアップデートを公開。PC版のGoogle Chromeでは深刻度「High」の脆弱性を含む16件のセキュリティ修正を行っている。
"Stable Channel Update for Desktop" https://chromereleases.googleblog.com/2023/05/stable-channel-update-for-desktop_30.html "Chrome for Android Update" https://chromereleases.googleblog.com/2023/05/chrome-for-android-update_01893263616.html "Chrome Stable for iOS Update" https://chromereleases.googleblog.com/2023/05/chrome-stable-for-ios-update_30.html |
| 2023/6/1 | Splunk 社複数製品 | Splunk 社は、Splunk Enterprise やSplunk Cloud などの複数製品に関するセキュリティアドバイザリを公開。 深刻度「Critical」1件を含む脆弱性15件のセキュリティ修正が行われている。 "Security Advisories" https://advisory.splunk.com/advisories |
| 2023/6/5 | Android | Google 社は、Androidのセキュリティ更新プログラムレベル「2023-06-05」を公開。なお、限定的かつ標的を絞った悪用を受けている可能性があるという「CVE-2022-22706」についても軽減策が施されているという。 "Android Security Bulletin--June 2023" https://source.android.com/docs/security/bulletin/2023-06-01 |
| 2023/6/5 | Google Chrome | Google 社はPC版のWeb ブラウザ Google Chromeのアップデートを公開。悪用が確認されたスクリプトエンジンV8の脆弱性「CVE-2023-3079」を含む2件のセキュリティ修正を行っている。 "Stable Channel Update for Desktop" https://chromereleases.googleblog.com/2023/06/stable-channel-update-for-desktop.html |
| 2023/6/6 | Mozilla Firefox / Mozilla Firefox ESR | Mozilla 社はブラウザFirefox /Firefox ESR のセキュリティアップデートを公開。影響度は全て「High」に設定されている。また、悪用が行えた可能性がある脆弱性についても今回のアップデートで修正されている。 "Mozilla Foundation Security Advisory 2023-20 Security Vulnerabilities fixed in Firefox 114" https://www.mozilla.org/en-US/security/advisories/mfsa2023-20/ "Mozilla Foundation Security Advisory 2023-19 Security Vulnerabilities fixed in Firefox ESR 102.12" https://www.mozilla.org/en-US/security/advisories/mfsa2023-19/ |
| 2023/6/13 | Microsoft 社複数製品 | Microsoft社は、複数のソフトウェアに対する月例セキュリティ更新プログラムを公開。なお、今回は悪用が確認された脆弱性や第三者から公開された脆弱性は無かった。 "2023 年 6 月のセキュリティ更新プログラム" https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2023-Jun "2023 年 6 月のセキュリティ更新プログラム (月例)" https://msrc.microsoft.com/blog/2023/06/202306-security-update/ |
| 2023/6/13 | Adobe 社複数製品 | Adobe 社は、自社製品に対するセキュリティアップデートを公開した。アップデートタイミングについては、全製品ともに利用者/管理者の判断でアップデートすることを勧めている。 "Security updates available for Adobe Experience Manager | APSB23-31" https://helpx.adobe.com/security/products/experience-manager/apsb23-31.html "Security update available for Adobe Commerce | APSB23-35" https://helpx.adobe.com/security/products/magento/apsb23-35.html "Security updates available for Adobe Animate | APSB23-36" https://helpx.adobe.com/security/products/animate/apsb23-36.html "Security updates available for Substance 3D Designer | APSB23-39" https://helpx.adobe.com/security/products/substance3d_designer/apsb23-39.html |
| 2023/6/21 | Apple 社複数製品 | Apple 社は複数製品に存在する脆弱性に対するセキュリティアップデートを公開。悪用が確認されている脆弱性が公開された製品全てに含まれているため、早急にアップデートを行うことを強くお勧めする。 "Safari 16.5.1 のセキュリティコンテンツについて" https://support.apple.com/ja-jp/HT213816 "iOS 16.5.1 および iPadOS 16.5.1 のセキュリティコンテンツについて" https://support.apple.com/ja-jp/HT213814 "iOS 15.7.7 および iPadOS 15.7.7 のセキュリティコンテンツについて" https://support.apple.com/ja-jp/HT213811 "macOS Ventura 13.4.1 のセキュリティコンテンツについて" https://support.apple.com/ja-jp/HT213813 "macOS Monterey 12.6.7 のセキュリティコンテンツについて" https://support.apple.com/ja-jp/HT213810 "macOS Big Sur 11.7.8 のセキュリティコンテンツについて" https://support.apple.com/ja-jp/HT213809 "watchOS 9.5.2 のセキュリティコンテンツについて" https://support.apple.com/ja-jp/HT213812 "watchOS 8.8.1 のセキュリティコンテンツについて" https://support.apple.com/ja-jp/HT213808 |
2023/6/20 | Node.js | 「Node.js」開発チームは深刻度「高」を含む脆弱性10件を修正したセキュリティアップデートをリリース。 "Tuesday June 20 2023 Security Releases" https://nodejs.org/en/blog/vulnerability/june-2023-security-releases |
2023/6/21 | ISC BIND | Internet Systems Consortium(以降、ISCと略称)はDNS サーバで広く利用されているISC BIND のセキュリティアドバイザリを公開。緊急性の高い複数の脆弱性が修正されている。 "CVE-2023-2828: named's configured cache size limit can be significantly exceeded" https://kb.isc.org/docs/cve-2023-2828 "CVE-2023-2911: Exceeding the recursive-clients quota may cause named to terminate unexpectedly when stale-answer-client-timeout is set to 0" https://kb.isc.org/docs/cve-2023-2911 |
2023/6/21 | Apache Tomcat | The Apache Software FoundationはApache Tomcat 11.0.0-M6で修正されている情報漏洩の脆弱性(CVE-2023-34981)を公開した。 "[SECURITY] CVE-2023-34981 Apache Tomcat - Information disclosure" https://lists.apache.org/thread/j1ksjh9m9gx1q60rtk1sbzmxhvj5h5qz |
2023/6/23 | FortiNAC | Fortinet 社はネットワークアクセス制御ソリューション製品であるFortiNACの複数脆弱性を修正。CVSSv3スコア9.6の「CVE-2023-33299」も修正されている。 "FortiNAC - java untrusted object deserialization RCE" https://www.fortiguard.com/psirt/FG-IR-23-074 "FortiNAC - argument injection in XML interface on port tcp/5555" https://www.fortiguard.com/psirt/FG-IR-23-096 |
注目したインシデント
2023年5月下旬のインシデント情報も含まれております。
| 公表日 | 発生組織の業種 | インシデント内容 | 情報/コメント |
| 2023/5/26 | 製造・販売業 | メール誤送信による情報流出 | 他社情報を含むファイルを添付し他部署従業員宛てに送信したところ、当該従業員と同姓の他社従業員に誤って送信するインシデントが発生。なお、誤送信先の従業員には事情を説明し当該データを開くことなく削除していただいたとのこと。 |
| 2023/5/29 | 行政 | 不正アクセスによる情報流出 | ダークネットのハッカーフォーラムにて、とある省庁から流出したと考えられるデータが公開されていることをセキュリティ企業が公表。公開されたデータにはID及び平文パスワードの他、名前、役職、メールアドレス等も含まれていたとのこと。なお、6/1時点において、不正アクセスの経路や原因については公開されていない。 |
| 2023/5/31(第一報) 2023/6/5(第二報) 2023/6/7(第三報) |
情報・通信業 | ランサムウェア感染 | グループ子会社において不正アクセスを受けたことを確認。その後の調査によりランサムウェア感染が原因であったとコメントしている。 |
| 2023/5/31 (第二報) | 建設業 | VPN経由での不正アクセス | 4月に社内サーバが不正アクセスを受けたというインシデントに対する第二報。不正アクセスの原因は同社が管理運用していたVPN機器の管理アカウントパスワードが推測可能なものであったためとコメントしている。 |
| 2023/6/1 | ホテル業 | 不正アクセスによる個人情報流出の可能性及びフィッシングサイト誘導 | 同社が利用している宿泊予約情報管理システム管理会社からの報告を受け調査した結果、不正アクセスが行われたこと、管理システムにあるチャット機能を使用してフィッシングサイトに誘導するメッセージが配信されたことが判明。 |
| 2023/6/5(第二報) | 自動車販売業 | 不正アクセスによるランサムウェア感染及び個人情報流出の可能性 | 2023年4月に公表した不正アクセスの続報。調査した結果、不正アクセス後にランサムウェアによりサーバ内データが暗号化されたとのこと。なお、個人データを外部送信した痕跡は見つかっていないが、個人データ約240万件が閲覧された可能性は否定出来ないとコメントしている。 |
| 2023/6/7 | 自治体 | ランサムウェアによるファイル暗号化 | 児童を対象とした事業を委託している事業者の一部サーバがランサムウェアによりファイルが暗号化された。暗号化されたファイルには利用者に関する個人情報が含まれているが外部流出は確認されていないとのこと。感染経路や情報流出有無については引き続き調査しているとコメントしている。 |
| 2023/6/8 | その他製品(文房具/オフィス家具) | ランサムウェア感染 | グループ会社の一部情報システムに対しランサムウェアによる攻撃が行われたことを公表。影響範囲や原因などについては確認中とのこと。 |
| 2023/6/6(第一報) 2023/6/21(第二報) |
情報・通信業 | ランサムウェアによる提供サービスの停止 | データセンター上のサーバダウンを受け、現地で確認したところランサムウェアらしき警告文を確認。その後の調査により同社の複数提供サービスが停止している。なお、情報流出の有無や侵入経路特定等は調査継続中であるとコメントしている。 |
| 2023/6/6 | 情報処理・ソフトウェア/コンサルタント | リモートアクセス機器経由での不正アクセスによる個人情報流出の可能性 | 外部からリモートアクセス機器経由で不正アクセスを検知したため調査した結果、同社アカウント管理システム(ディレクトリサーバ)への不正アクセスも確認された。そのため、グループ会社も含めたアカウント情報が流出した可能性があるとコメントしている。 |
| 2023/6/8 | 精密機器/ソフトウェア/半導体・電子部品 | サービス提供サーバのマルウェア感染 | データセンター内にある特定事業者向けサービスを提供しているサーバがマルウェアに感染し攻撃を受けていることを公表した。左記以外の情報については現在調査中とのこと。 |
| 2023/6/13 | 食品製造・卸売業 | 不正アクセスによる個人情報(クレジットカード情報含む)流出の可能性 | 同社が運営するECサイトが不正アクセスに遭い、クレジットカード情報を含む個人情報約4,900件が流出した可能性があるとのこと。原因はシステムの脆弱性を突かれペイメントアプリケーションが改ざんされたとコメントしている。 |
| 2023/6/13(第一報/第二報) 2023/6/14(第三報) 2023/6/14(第四報) 2023/6/23(第五報) |
情報処理・ソフトウェア | ランサムウェアによる提供サービス停止 | ランサムウェアにより、同社が顧客に提供しているクラウド/ホスティングサービスの停止のほか、当該サービスのソースコードや各種情報がダークウェブで公開されていることも確認したとコメントしている。 |
| 2023/6/15 | 情報・通信業 | システム設定不備による個人情報公開 | ウェビナーで利用した配信システムの設定不備により、申込者の個人情報ファイルがインターネット上で閲覧可能な状態になっていたことを公表。なお、当該ファイルへの第三者アクセスがなかったことを確認しているとコメントしている。 |
| 2022/6/20 | 自治体 | サポート詐欺による不正ソフトウェアのインストール | 自治体事業の委託業者がパソコン画面に表示されたセキュリティ警告に騙され、PC制御用ソフトをインストールしたことを公表。金銭支払要求の表示はされたが、攻撃者がPC内のファイルにアクセスした痕跡は無かったとコメントしている。 |
| 2023/6/22 | 大学 | メールアカウント不正アクセスによる迷惑メール送信 | 2名分のメールアカウントが不正アクセスを受け、約150万件の迷惑メールが送信されたことを公表した。 |
