PSIRT ブログ
FortiOSとSSLの脆弱性
8月3日から8日にかけてラスベガスで開催された先日のBlack Hat 2019カンファレンスでは、セキュリティ研究者がフォーティネットを含む複数のセキュリティベンダーに影響を与えるセキュリティ脆弱性の発見について議論しました。フォーティネットに影響を与えた脆弱性はすべて2019年4月と5月に修正されました。
SSL VPNの脆弱性
このうち2つの脆弱性は、フォーティネットのSSL VPNの実装に直接影響を与えました。それらは以下の通りです。
- CVE-2018-13379 (FG-IR-18-384) - これは、FortiOS SSL VPN ウェブポータルにあるパストラバーサルの脆弱性で、認証されていない攻撃者が特別に細工された HTTP リソースリクエストを介してファイルをダウンロードすることができる可能性があります。
- CVE-2018-13383 (FG-IR-18-388) - このヒープバッファオーバーフロー脆弱性は FortiOS SSL VPN ウェブポータルに存在し、ログインしているユーザに対して SSL VPN ウェブサービスを終了させる可能性があります。また、JavaScript の href コンテンツを適切に処理できないため、FortiOS 上でリモートコードを実行される可能性があります。この場合、認証されたユーザーが、特別に作成されるプロキシされたウェブページにアクセスする必要があります。
リモートパスワード変更の脆弱性
さらに、2019年5月には、FortiOSに、以前に顧客のリクエストで作成された「魔法の」文字列値が含まれており、当該パスワードの有効期限が切れた際にユーザーがパスワード変更プロセスを実行できるようにしていたことも開示されていました(修正済み)。その機能が誤って一般的なFortiOSリリースにバンドルされていたため、不適切な認証の脆弱性により、その値を単独で使用して、資格情報なしでSSL VPNウェブポータルユーザーのパスワードをリモートで変更することが可能になっていました。
注: 影響を受けたのはローカル認証のユーザーのみで、リモート認証(LDAPまたはRADIUS)のSSL VPNユーザーは影響を受けませんでした。詳細は以下の通りです。
- CVE-2018-13382 (FG-IR-18-389) SSL VPN ウェブポータルの不適切な認証の脆弱性により、認証されていない攻撃者が特別に細工された HTTP リクエストを使用して SSL VPN ウェブポータルユーザのパスワードを変更することができる可能性があります。
対応策
FortiGuard Labsは5月、「CVE-2018-13379」「CVE-2018-13383」「CVE-2018-13382」のパッチを公開した。また、この不正なコード文字列は FortiOS のコードベースから削除されました。この脆弱性に対するパッチも、影響を受けるすべてのバージョンの FortiOS 向けにリリースされています。また、FortiGuardシグネチャを展開して、攻撃トラフィックを監視し、対応できるようにしています。FortiGuard Labsは、引き続き世界中の攻撃活動を積極的に監視し、必要に応じて追加のアップデートを提供していきます。
お客様のセキュリティはフォーティネットの最優先事項であり、お客様との積極的なコミュニケーションを継続しています。お客様には、ファームウェアのアップグレードを第一の推奨ソリューションとして、すべての適切なパッチアップデートとシグネチャを直ちに実施することを強くお勧めします。
業界をリードするベストプラクティスに加えて、当社では、複数の段階の検査、内部監査および第三者による監査、ソースコードの開発全体にわたって自動化されたトリガーおよびツールを含む定期的なレビュープロセスに従い、遵守しています。
以下のようなプロセスとベストプラクティスを強化しました。
- 年1回のセキュアコードトレーニング
- 開発者のための RTF (Remediate the Flag) トーナメント
- バグ識別インセンティブプログラム
- OWASP と業界のベストプラクティスに基づいた開発者のためのセキュアコーディングハンドブックへのサインオフ義務
- 異なる独立した第三者機関が実施した、敵対的アプローチを使用した製品の定期的なブラックボックス評価
- ウェブやメーリングリストのクローラーによる脆弱性の状況の自動監視
