2024年2月 セキュリティ情報(FortiOS 及びFortiProxy の脆弱性 [CVE-2024-21762]など)

ご挨拶

インフラ業務と並行しつつ「セキュリティの町医者」を目指し日々精進している三浦です。
今月で技術関連記事に毎月投稿して1年となりました。
今後とも宜しくお願いいたします。

2024年2月に収集した脆弱性/インシデント情報から注目いたしました各種情報を掲載いたします。
セキュリティ対策や推進に少しでもご活用いただければ幸いです。

注目した脆弱性(FortiOS 及びFortiProxy の脆弱性 [CVE-2024-21762])

情報公開日:2024/2/8(現地時間)

一次情報元(引用元)	"Fortinet社 (FortiGuard Labs[PSIRT])"FortiOS/FortiProxy - Out-of-bound Write in sslvpnd
その他、情報ソース	"IPA" Fortinet 製 FortiOS SSL VPN の脆弱性対策について(CVE-2024-21762) "JPCERT/CC" Fortinet製FortiOSの境域外書き込みの脆弱性（CVE-2024-21762）に関する注意喚起 "Cybersecurity Help s.r.o." Remote code execution in FortiOS SSL-VPN
CVE番号及び深刻度	CVE番号：CVE-2024-21762　　深刻度：Critical CVSSスコア 9.6(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
脆弱性内容	Fortinet 社はFortiOSおよびFortiProxyのSSL VPN機能の脆弱性に関するアドバイザリを公開。当該脆弱性が悪用された場合、任意コードまたはコマンドが実行される恐れがあり、同社アドバイザリでは悪用の可能性を示唆している。 想定される攻撃手口としては、細工したHTTPリクエストを対象製品に送信すること。なお、遠隔の第三者が認証不要で当該脆弱性の悪用が行えると同社アドバイザリでは述べている。
想定される影響	・悪意のあるコードまたはコマンドが実行され、当該製品の乗っ取り、DoS、情報漏えいなど不特定多数の影響を受ける可能性があります。
影響を受ける製品	・FortiOS 6.0.0から6.0.17まで ・FortiOS 6.2.0から6.2.15まで ・FortiOS 6.4.0から6.4.14まで ・FortiOS 7.0.0から7.0.13まで ・FortiOS 7.2.0から7.2.6まで ・FortiOS 7.4.0から7.4.2まで ・FortiProxy 1.0すべてのバージョン ・FortiProxy 1.1すべてのバージョン ・FortiProxy 1.2すべてのバージョン ・FortiProxy 2.0.0から2.0.13まで ・FortiProxy 7.0.0から7.0.14まで ・FortiProxy 7.2.0から7.2.8まで ・FortiProxy 7.4.0から7.4.2まで
解決策	・恒久対策としては脆弱性宅策が行われたバージョンへのアップグレード。回避策としてはSSL VPN機能の無効化となる。 　⇒詳細については「一次情報元(引用元)」でご確認ください。
コメント	注目した理由は国内のランサムウェア感染経路で最も多いVPN製品で不正アクセスが可能な脆弱性である点、同社アドバイザリで当該脆弱性の悪用示唆があった点です。すぐにパッチを適用することを強くお勧めいたします。

その他、注目した脆弱性/ソフトウェアUpdate情報

2024年1月下旬の脆弱性/ソフトウェア情報も含まれております。

日付	ソフトウエア	情報/コメント
2024/1/31	Docker	Docker 社は、複数脆弱性を修正したアップデートを公開。 "Docker Security Advisory: Multiple Vulnerabilities in runc, BuildKit, and Moby" https://www.docker.com/blog/docker-security-advisory-multiple-vulnerabilities-in-runc-buildkit-and-moby/
2024/2/1	Microsoft Edge	Microsoft 社はMicrosoft Edge のセキュリティアップデートを実施。Google Chromiumの脆弱性の他、MS Edge固有の1件脆弱性(RCE脆弱性)も対応されている。 "Release notes for Microsoft Edge Security Updates (February 1, 2024)" https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#february-1-2024
2024/2/5	Android	Google 社は、Androidのセキュリティ更新プログラムを公開。 "Android Security Bulletin--February 2024" https://source.android.com/docs/security/bulletin/2024-02-01
2024/2/6	Google Chrome/Microsoft Edge	アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(以降、CISAと略称)は2023/9/5[現地時間]に公開されたGoogle Chrome/Microsoft Edgeの脆弱性悪用確認を公開した。 "CISA Adds One Known Exploited Vulnerability to Catalog [Release DateFebruary 06, 2024]" https://www.cisa.gov/news-events/alerts/2024/02/06/cisa-adds-one-known-exploited-vulnerability-catalog
2024/2/8-2024/2/12	Apple 社複数製品	"Apple 社は、同社の複数製品のセキュリティUpdate を公開。なお、CVE番号が付与された脆弱性の修正は無かった。" https://support.apple.com/en-us/HT201222
2024/2/13	Microsoft 社複数製品	Microsoft社は、複数のソフトウェアに対する月例セキュリティ更新プログラムを公開。悪用が確認された脆弱性2件の修正が行われている。 "2024 年 2 月のセキュリティ更新プログラム" https://msrc.microsoft.com/update-guide/releaseNote/2024-Feb "2024 年 2 月のセキュリティ更新プログラム (月例)" https://msrc.microsoft.com/blog/2024/02/202402-security-update/ 悪用が確認された脆弱性 "インターネット ショートカット ファイルのセキュリティ機能のバイパスの脆弱性(CVE-2024-21412)" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21412 "Windows SmartScreen のセキュリティ機能のバイパスの脆弱性(CVE-2024-21351)" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21351
2024/2/13	Zoomビデオコミュニケーションズ 複数製品	Zoomビデオコミュニケーションズ社は、同社複数製品のセキュリティUpdateを公開。深刻度「Critical」の脆弱性1件も修正されている。 "Security Bulletins(公開日2/13箇所を参照)" https://www.zoom.com/en/trust/security-bulletin/
2024/2/13	ISC BIND	Internet Systems Consortium(以降、ISCと略称)はDNS サーバで広く利用されているISC BIND のセキュリティアドバイザリを公開。複数ベンダにも存在する緊急性の高い複数の脆弱性が修正されている。 "BIND 9 Security Release and Multi-Vendor Vulnerability Handling, CVE-2023-50387 and CVE-2023-50868" https://www.isc.org/blogs/2024-bind-security-release/
2024/2/14	F5 社複数製品	F5 社は BIG-IP 複数製品の脆弱性を公開。深刻度が「高」レベルのものなど、複数の脆弱性が修正されている。 "K000138353: Quarterly Security Notification (February 2024)" https://my.f5.com/manage/s/article/K000138353
2024/2/14	Node.js	「Node.js」開発チームは深刻度「高」を含む複数脆弱性を修正したセキュリティアップデート情報を公開。 "Wednesday February 14 2024 Security Releases" https://nodejs.org/en/blog/vulnerability/february-2024-security-releases
2024/2/20	Mozilla 社複数製品	Mozilla 社はFirefox /Firefox ESR /Thunderbird のセキュリティアップデートを公開。影響度は全て「high」に設定されており、悪用が行えた可能性がある脆弱性も修正している。 "Mozilla Foundation Security Advisory 2024-05 Security Vulnerabilities fixed in Firefox 123" https://www.mozilla.org/en-US/security/advisories/mfsa2024-05/ "Mozilla Foundation Security Advisory 2024-06 Security Vulnerabilities fixed in Firefox ESR 115.8" https://www.mozilla.org/en-US/security/advisories/mfsa2024-06/ "Mozilla Foundation Security Advisory 2024-07 Security Vulnerabilities fixed in Thunderbird 115.8" https://www.mozilla.org/en-US/security/advisories/mfsa2024-07/

注目したインシデント

2024年1月下旬のインシデント情報も含まれております。

公表日	発生組織/業種	インシデント内容	情報/コメント
2024/1/31	通販サイト	不正アクセスによるアプリケーション改ざん及び個人情報漏えいの可能性	不正アクセスはサイトのシステムの一部の脆弱性を悪用したクロスサイトスクリプティングの手法によって行われたとのこと。
2024/1/31	転職サイト	管理画面への不正ログイン及び応募者情報漏えい	第三者が何らかの方法で当該掲載企業のIDおよびパスワードを取得し、不正ログインを行っていたとのこと。
2024/2/1	飲料メーカー	グループネットワークへの不正アクセス及び情報漏えい懸念	不正アクセスにより社内サーバのデータ一部が読み出されたことを確認。侵入経路については未公開であった。
2024/2/5 報道	省庁	外交で利用するシステムへのサイバー攻撃	サイバー攻撃によりシステムでやり取りをされていた情報が某国に漏れていた可能性があるが、具体的にどのような攻撃だったのかや攻撃によって生じた影響など詳細は報じられていない。
2024/2/5	ヘルスケア	ランサムウェア被害	同社のサーバがランサムウェア被害に遭ったとのこと。その他、詳細情報については調査中であるため、まだ公開されていない。
2024/2/5	医療	ランサムウェア被害	X線画像読影システムがランサムウェア被害に遭ったとのこと。侵入経路などについては公開されていない。
2024/2/6	スポーツチーム	不正アクセスによるアプリケーション改ざん及びクレジットカード情報漏えいの可能性	システムの開発管理者アカウントへの不正アクセスにより、ペイメントアプリケーションの改ざんが行われたとコメントしている。
2024/2/7	自治体	ランサムウェア被害	感染経路や原因などについては公開されていない。
2024/2/8	建設コンサルタント	不正アクセスによるコーポレートサイト改ざん	同社は安全確保のため、サイトの一時閉鎖を決定。なお、コーポレートサイトは2/22から再開している。
2024/2/9	ソフトウェア	ランサムウェア被害による業務遅延	感染経路や原因などについては公開されていない。
2024/2/13	不動産	設定不備による個人情報漏えいの可能性	原因はキャッシュの設定ミスによるものとコメントしている。
2024/2/16	小売業	ランサムウェア被害	原因についてはまだ公開されていない。なお、本インシデントにより多くの事業が影響を受けていると報道されている。
2024/2/16	自動車	不正アクセスによる情報漏えいの可能性	原因は開発委託先企業が過去のAWSアクセスキーを使いまわしていた事とコメントしている。
2024/2/19	通販サイト	不正アクセスによるアプリケーション改ざん及び個人情報漏えいの可能性	不正アクセスはサイトのシステムの一部の脆弱性を悪用し行われ、ペイメントアプリケーションが改ざんされたとのこと。