Fortinet社は2024年2月8日(米国時間)、Fortinet社製 FortiOS・FortiProxyにおける境域外書き込みの脆弱性(CVE-2024-21762)に関するアドバイザリ(FG-IR-24-015)を公開しました。
本脆弱性が悪用されると、認証されていない遠隔の第三者が、細工したHTTPリクエストを送信し、結果として任意のコードまたはコマンドを実行する可能性があります。
下記影響を受けるソフトウェアをお使いの場合は、早急に対応を行うことを推奨致します。
なお、実際に本脆弱性が悪用されている可能性があると報告されています。
影響を受けるソフトウェア
- FortiOS 7.4.0 ~ 7.4.2
- FortiOS 7.2.0 ~ 7.2.6
- FortiOS 7.0.0 ~ 7.0.13
- FortiOS 6.4.0 ~ 6.4.14
- FortiOS 6.2.0 ~ 6.2.15
- FortiOS 6.0 全バージョン
- FortiProxy 7.4.0 ~ 7.4.2
- FortiProxy 7.2.0 ~ 7.2.8
- FortiProxy 7.0.0 ~ 7.0.14
- FortiProxy 2.0.0 ~ 2.0.13
- FortiProxy 1.2 全バージョン
- FortiProxy 1.1 全バージョン
- FortiProxy 1.0 全バージョン
対策
1. アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。開発者は、本脆弱性を修正した次のバージョンをリリースしています。
- FortiOS 7.4.3 以降
- FortiOS 7.2.7 以降
- FortiOS 7.0.14 以降
- FortiOS 6.4.15 以降
- FortiOS 6.2.16 以降
- FortiProxy 7.4.3 以降
- FortiProxy 7.2.9 以降
- FortiProxy 7.0.15 以降
- FortiProxy 2.0.14 以降
なお、以下については修正(アップデート)バージョンは提供されていないので、修正済みメジャーバージョンへの移行が推奨されます。
- FortiOS 6.0 全バージョン
- FortiProxy 1.2 全バージョン
- FortiProxy 1.1 全バージョン
- FortiProxy 1.0 全バージョン
2. 暫定的な回避策を実行する
製品開発者によると次の回避策を適用することで、本脆弱性の影響を軽減できるとのことです。
- SSL-VPN を無効にする(Web モードを無効にすることは有効な回避策ではありません)
参考情報
