概要
Fortinet 社より、FortiOS の SSL VPN 機能に関する脆弱性が公表されました。
この FortiOS SSL VPN において、リモートからのコード実行の脆弱性が確認されています。
本脆弱性を悪用された場合、認証されていない遠隔の第三者によって細工したリクエストを送信され、任意のコードまたはコマンドを実行される可能性があります。
今後被害が拡大する可能性があるため、早急に対策を実施してください。
影響を受けるシステム
--- 2024年 2 月 26 日更新 ---
・FortiOS バージョン 7.4.0 から 7.4.2
・FortiOS バージョン 7.2.0 から 7.2.6
・FortiOS バージョン 7.0.0 から 7.0.13
・FortiOS バージョン 6.4.0 から 6.4.14
・FortiOS バージョン 6.2.0 から 6.2.15
・FortiOS バージョン 6.0.0 から 6.0.17
・FortiProxy バージョン 7.4.0 から 7.4.2
・FortiProxy バージョン 7.2.0 から 7.2.8
・FortiProxy バージョン 7.0.0 から 7.0.14
・FortiProxy バージョン 2.0.0 から 2.0.13
・FortiProxy バージョン 1.2 系の全てのバージョン
・FortiProxy バージョン 1.1 系の全てのバージョン
・FortiProxy バージョン 1.0 系の全てのバージョン
対策
1.脆弱性の解消 - 修正プログラムの適用
開発者が提供する情報をもとに、最新版へアップデートしてください。開発者は、本脆弱性を修正した次のバージョンをリリースしています。
--- 2024年 2 月 26 日更新 ---
・FortiOS バージョン 7.4.3 あるいはそれ以降
・FortiOS バージョン 7.2.7 あるいはそれ以降
・FortiOS バージョン 7.0.14 あるいはそれ以降
・FortiOS バージョン 6.4.15 あるいはそれ以降
・FortiOS バージョン 6.2.16 あるいはそれ以降
・FortiOS バージョン 6.0.18 あるいはそれ以降
・FortiProxy バージョン 7.4.3 あるいはそれ以降
・FortiProxy バージョン 7.2.9 あるいはそれ以降
・FortiProxy バージョン 7.0.15 あるいはそれ以降
・FortiProxy バージョン 2.0.14 あるいはそれ以降
以下製品については、修正リリースに移行してください
・FortiProxy 1.2 系
・FortiProxy 1.1 系
・FortiProxy 1.0 系
2.脆弱性の暫定的な回避策
製品開発者によると、次の回避策を適用することで、本脆弱性の影響を軽減できるとのことです。
・SSL-VPN を無効にする
参照:IPA 情報処理推進機構