この度フォーティネット社より、下記の脆弱性情報が発表されております
のでご案内いたします。
【概要】
FortiOS SSL-VPNに境界外書き込みの脆弱性 [CWE-787] が内在し、
リモートの攻撃者が、特別に細工されたHTTPリクエストを経由して
任意のコードまたはコマンドを実行できる可能性があります。
本脆弱性は、フォーティネット社PSIRTチームでのソースコード内部監査により検出いたしました。
【影響を受けるFortiOS バージョン】
FortiOS バージョン 7.4.0 – 7.4.2
FortiOS バージョン 7.2.0 – 7.2.6
FortiOS バージョン 7.0.0 – 7.0.13
FortiOS バージョン 6.4.0 – 6.4.14
FortiOS バージョン 6.2.0 – 6.2.15
FortiOS バージョン 6.0 (全バージョン)
【対策済みFortiOS バージョン】
FortiOSバージョン 7.6.0およびそれ以降
FortiOS バージョン 7.4.3 およびそれ以降
FortiOS バージョン 7.2.7 およびそれ以降
FortiOS バージョン 7.0.14 およびそれ以降
FortiOS バージョン 6.4.15 およびそれ以降
FortiOS バージョン 6.2.16 およびそれ以降
【回避策】
SSL VPN を無効にします。(Web モードを無効にすることは有効な回避策ではありません)
※これは実際に悪用される可能性があります。
【解決策】
上記対策済みFortiOS バージョン以降へのアップグレード。
■FortiOS 7.4.3
■FortiOS 7.2.7
2024年2月9日現在のFortiGuard Labs発表内容を元に掲載しております。
なお、情報は適宜アップデートされることがございます。
詳細については、以下FortiGuard Labsをご参照ください。
(https://fortiguard.fortinet.com/psirt/FG-IR-24-015)