United States Computer Emergency Readiness Team (US-CERT)は10月4日(米国時間)、「Vulnerabilities Exploited in Multiple VPN Applications|CISA」において、英国国立サイバーセキュリティセンター(The United Kingdom (UK) National Cyber Security Centre: NCSC)から、複数のベンダーの仮想プライベートネットワークアプリケーション(VPN)の脆弱性を悪用した高度な持続的脅威に関するアラートが公開されたと伝えた。攻撃者はこうした脆弱性を悪用してリモートから影響を受けるシステムの制御権を乗っ取る可能性があるとしており注意が必要。

脆弱性が存在しているアプリケーションとその内容については、次のページに情報が掲載されている。

  • FortiOS system file leak through SSL VPN via specially crafted HTTP resource requests

    FortiOS system file leak through SSL VPN via specially crafted HTTP resource requests

脆弱性を抱えるアプリケーションについては、バージョンに関して細かく情報がまとまっている。該当するプロダクトを使っている場合は上記のセキュリティ情報をチェックするとともに、問題が存在する場合には迅速にアップデートを適用することが望まれる。