FortinetのVPN製品に「バッファオーバーフロー」の脆弱性 どう対処すべきか:FortinetのVPNに「緊急」の脆弱性【前編】
FortinetのVPN製品に深刻な脆弱性が見つかった。ユーザー企業は迅速に対処する必要があるという。具体的にはどうすればいいのか。
セキュリティベンダーFortinetによると、同社のVPN(仮想プライベートネットワーク)製品に存在する深刻な脆弱(ぜいじゃく)性が攻撃に悪用された。脆弱性「CVE-2022-42475」は、米国の共通脆弱性評価システムCVSS(Common Vulnerability Scoring System)の評価では、深刻度が最も高い「緊急」(スコア9.3)となった。悪用されれば、攻撃者が認証なしで任意のプログラムを実行できる恐れがあるとFortinetは説明している。
「バッファオーバーフロー」を引き起こす CVE-2022-42475への対処法とは
CVE-2022-42475について、Fortinetはバッファー(データの一時記憶領域)に想定以上の長さのデータが入力される現象「バッファオーバーフロー」を引き起こす脆弱性だと説明する。同社は「CVE-2022-42475が悪用された1件の事案を確認している」と言い、ユーザー企業に対して直ちにシステムを検証することを勧告している。
FortinetはCVE-2022-42475を修正するパッチ(更新プログラム)を公開し、VPN製品のバージョンを問わず、適用を促している。米TechTargetの取材に対し、同社は「引き続き状況を監視する」と説明した。
CVE-2022-42475についてFortinetが情報を公開したのは、2022年12月12日(米国時間)だ。しかしそれより前に、CVE-2022-42475の存在が指摘されていた。フランスのセキュリティベンダーOlympe Cyberdefenseは2022年12月9日(現地時間)、「修正されていない深刻な脆弱性がFortinetのVPN製品に存在する」とみて警戒を呼び掛けていた。
後編は、CVE-2022-42475の発見を巡る経緯を整理する。
TechTarget発 先取りITトレンド
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.