Fortinet社より、FortiOS SSL-VPNの脆弱性(CVE-2024-21762)が公表されました。
対象バージョンをご利用のお客さまは、以下記載の内容をご確認の上、必要なご対応をお願いいたします。
概要
この FortiOS SSL-VPN において、リモートからのコード実行の脆弱性が確認されています。
本脆弱性を悪用された場合、認証されていない遠隔の第三者によって細工したリクエストを送信され、
任意のコードまたはコマンドを実行される可能性があります。
対象バージョン
・ FortiOS バージョン 7.4.0 から 7.4.2
・ FortiOS バージョン 7.2.0 から 7.2.6
・ FortiOS バージョン 7.0.0 から 7.0.13
・ FortiOS バージョン 6.4.0 から 6.4.14
・ FortiOS バージョン 6.2.0 から 6.2.15
・ FortiOS バージョン 6.0.0 から 6.0.17
※2024年3月14日時点の情報となります。最新の情報に関しては下記URLを参照してください。
https://www.ipa.go.jp/security/security-alert/2023/alert20240209.html
参考
お客さまに実施いただく必要があること
対処方法
脆弱性に対応したFortiOSへのバージョンアップをお願いします。
FortiOS バージョン 7.2.7 へアップグレード
FortiOS バージョン 7.0.14 あるいはそれ以降へアップグレード
FortiOS バージョン 6.4.15 あるいはそれ以降へアップグレード
FortiOS バージョン 6.2.16 あるいはそれ以降へアップグレード
FortiOS バージョン 6.0.18 あるいはそれ以降へアップグレード
※FortiOSバージョン7.4以降においては、弊社サポート外の為、アップグレードしないようお願いいたします。
参考
回避方法
製品開発者によると、次の回避策を適用することで、本脆弱性の影響を軽減できるとのことです。
・SSL-VPN を無効にします。
参考情報
Fortigate情報ページ
https://fortiguard.fortinet.com/psirt/FG-IR-24-015