Fortinet社より、FortiOS SSL-VPNの脆弱性(CVE-2023-27997)が公表されました。
対象バージョンをご利用のお客さまは、以下記載の内容をご確認の上、必要なご対応をお願いいたします。
概要
FortiOS SSL-VPN のヒープベースのバッファオーバーフローの脆弱性により、
リモート攻撃者が特別に作成されたリクエストを介して任意のコードまたはコマンドを実行できる可能性があります。
対象バージョン
・ FortiOS バージョン 7.2.0 から 7.2.4
・ FortiOS バージョン 7.0.0 から 7.0.11
・ FortiOS バージョン 6.4.0 から 6.4.12
・ FortiOS バージョン 6.2.0 から 6.2.13
・ FortiOS バージョン 6.0.0 から 6.0.16
※2023年6月19日時点の情報となります。最新の情報に関しては下記URLを参照してください。
https://www.ipa.go.jp/security/security-alert/2023/alert20230613.html
参考
お客さまに実施いただく必要があること
対処方法
脆弱性に対応したFortiOSへのバージョンアップをお願いします。
FortiOS バージョン 7.0.12へアップグレード
FortiOS バージョン 6.4.13 あるいはそれ以降へアップグレード
FortiOS バージョン 6.2.14 あるいはそれ以降へアップグレード
FortiOS バージョン 6.0.17 あるいはそれ以降へアップグレード
参考
回避方法
SSL-VPN を無効にします。
参考情報
Fortigate情報ページ
https://www.fortiguard.com/psirt/FG-IR-23-097