Fortinet 製 FortiOS SSL VPN にリモートからのコード実行の脆弱性 | ScanNetSecurity
2024.04.19(金)

Fortinet 製 FortiOS SSL VPN にリモートからのコード実行の脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月9日、Fortinet 製 FortiOS SSL VPN の脆弱性について発表した。影響を受けるシステムは以下の通り。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月9日、Fortinet 製 FortiOS SSL VPN の脆弱性について発表した。影響を受けるシステムは以下の通り。

FortiOS バージョン 7.4.0 から 7.4.2
FortiOS バージョン 7.2.0 から 7.2.6
FortiOS バージョン 7.0.0 から 7.0.13
FortiOS バージョン 6.4.0 から 6.4.14
FortiOS バージョン 6.2.0 から 6.2.15
FortiOS バージョン 6.0 系の全てのバージョン

 Fortinet の FortiOS にはSSL VPN 機能にリモートからのコード実行の脆弱性が存在し、認証されていない遠隔の第三者によって細工したリクエストを送信され、任意のコードまたはコマンドを実行される可能性がある。

 Fortinet では、アドバイザリにて本脆弱性に対して悪用の可能性を示唆している。

 IPAとJPCERT/CCでは、Fortinet が提供する情報をもとに最新版へアップデートするよう呼びかけている。Fortinet では、本脆弱性を修正した下記のバージョンをリリースしている。

FortiOS バージョン 7.4.3 あるいはそれ以降
FortiOS バージョン 7.2.7 あるいはそれ以降
FortiOS バージョン 7.0.14 あるいはそれ以降
FortiOS バージョン 6.4.15 あるいはそれ以降
FortiOS バージョン 6.2.16 あるいはそれ以降
FortiOS バージョン 6.0 系は、修正リリースへの移行を推奨

 なお Fortinet では、SSL-VPN を無効にすることで、本脆弱性の影響を軽減できるとしている。

《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×