Fortinet社のファイアウォールとWebアプリケーションにセキュリティ上の欠陥
ロシアのセキュリティソリューションプロバイダ、Positive Technologies社は、米Fortinet社のファイアウォールおよびWebアプリケーション「FortiWeb」に影響する4つのセキュリティ脆弱性を発見し、できるだけ早くデプロイメントを更新するよう顧客に忠告している。
これらの脆弱性のうち1つ目(CVE-2020-29015)は深刻度スコア6.4で、権限のないユーザーがFortiWebのインターフェイスを介してブラインドSQLインジェクション攻撃を実行できるようになっていた。2月第1週のPositive Technology社のブログ記事によると、この脆弱性を悪用すれば、攻撃者は悪意のあるSQLコマンドを含むAuthorizationヘッダ付きのリクエストを送信できるという。
2つ目(CVE-2020-29016)と3つ目(CVE-2020-29019)も深刻度スコアは6.4で、研究者たちはFortiWebサービスに対してスタックバッファオーバーフロー攻撃を仕掛け、不正なコードを実行したり、アプリケーションのhttpdデーモンに対するDoS攻撃を実行したりすることに成功している。
4つ目 (CVE-2020-29018) はスコア5.3と少し下がる。フォーマット文字列攻撃を許していた。これを悪用すれば、攻撃者はシステムメモリの内容を読み取ったり、機密データを取得したり、「redir」パラメータを使って不正なコードを実行したりすることが可能になるという。
Positive Technologies社の脅威研究者、Andrey Medov氏によると、最初の2つは悪用するのに権限が必要ないため、特に重大だという。
「1つ目の脆弱性では、(データベース管理システム)ユーザーに過剰な権限があることでシステム管理者アカウントのハッシュ値を取得することができ、このハッシュ値は解読しなくてもAPIへのアクセスに使えます」と氏は書いている。「2つ目の脆弱性では任意のコード実行を許しています」
Medov氏の補足によると、4つ目の脆弱性も不正なコードの実行を許しているが、認証が必要なため深刻度は下がるという。
Fortinet社は1月初旬にこれらの脆弱性を認識しており、その後修正している。同社は顧客に対し、FortiWebのバージョン6.2は6.2.4に、6.3は6.3.8にアップデートしてパッチを適用するよう呼びかけている。
https://www.sdxcentral.com/articles/news/fortinet-firewall-web-apps-hit-by-security-flaw/2021/02/
Tobias Mann is an editor at SDxCentral covering the SD-WAN, SASE, and semiconductor industries. He can be reached at tmann@sdxcentral.com
Tobias Mann is an editor at SDxCentral covering the SD-WAN, SASE, and semiconductor industries. He can be reached at tmann@sdxcentral.com
JOIN NEWSME ニュースレター購読
KCMEの革新的な技術情報を随時発信
5G・IoT・クラウド・セキュリティ・AIなどの注目領域のコンテンツをお届けします。
KCME注目の技術領域に関するテックブログを配信しています。
KCME注目の技術領域に関するテックブログを配信しています。
RELATED ARTICLE 関連記事
-
データセンター Dan Meyer2024.10.10
データセンター投資とエネルギー消費が増大=生成AI需要で
データセンター設備投資額が上半期、生成AIの影響で大…
-
OPEN-RAN Dan Meyer2024.10.08
オープンRANに必要な後押しはAIなのか
米通信大手TモバイルUSが先月18日、「AI-RAN…
-
ネットワーク Dan Meyer2024.09.26
ASTスペースモバイルが衛星打ち上げ=衛星通信市場は飽和状態なのか
米ASTスペースモバイル(AST)が12日、衛星「B…
-
クラウド Dan Meyer2024.08.27
AWS、Azure、Google Cloudのマーケットプレイスが急成長へ
Amazon Web Services(AWS)、M…
HOT TAG 注目タグ
RANKING 閲覧ランキング
-
IT Dan Meyer
BroadcomによるVMware製品の価格/ライセンスの変更がどうなったか
-
IT Dan Meyer
Broadcomは「脅迫者」=米AT&Tが酷評
-
ネットワーク Sean Michael Kerner
2024年における10のネットワーキング技術予測
-
IT Dan Meyer
BroadcomがVMwareパートナープログラムの詳細を発表
-
セキュリティ Nancy Liu
SASE市場が急成長=第1四半期、首位はZscaler
-
IT Dan Meyer
Dell、HPE、LenovoはBroadcomがVMwareの顧客の懸念を和らげるのに役立つか?
-
セキュリティ Tobias Mann
米CitrixはMcAfee社、FireEye社と同じ運命を辿るのか=買収合併の後に
-
セキュリティ Nancy Liu
デル、データ侵害を確認=ハッカーが4900万件の顧客データ販売を主張
-
スイッチング技術 Tobias Mann
コパッケージドオプティクスの実用化は何年も先=専門家談
-
ネットワーク Sean Michael Kerner
2023年 ITネットワークのトレンドTOP10 現時点