PSIRT ブログ
8月3日から8日にかけてラスベガスで開催された先日のBlack Hat 2019カンファレンスでは、セキュリティ研究者がフォーティネットを含む複数のセキュリティベンダーに影響を与えるセキュリティ脆弱性の発見について議論しました。フォーティネットに影響を与えた脆弱性はすべて2019年4月と5月に修正されました。
このうち2つの脆弱性は、フォーティネットのSSL VPNの実装に直接影響を与えました。それらは以下の通りです。
さらに、2019年5月には、FortiOSに、以前に顧客のリクエストで作成された「魔法の」文字列値が含まれており、当該パスワードの有効期限が切れた際にユーザーがパスワード変更プロセスを実行できるようにしていたことも開示されていました(修正済み)。その機能が誤って一般的なFortiOSリリースにバンドルされていたため、不適切な認証の脆弱性により、その値を単独で使用して、資格情報なしでSSL VPNウェブポータルユーザーのパスワードをリモートで変更することが可能になっていました。
注: 影響を受けたのはローカル認証のユーザーのみで、リモート認証(LDAPまたはRADIUS)のSSL VPNユーザーは影響を受けませんでした。詳細は以下の通りです。
FortiGuard Labsは5月、「CVE-2018-13379」「CVE-2018-13383」「CVE-2018-13382」のパッチを公開した。また、この不正なコード文字列は FortiOS のコードベースから削除されました。この脆弱性に対するパッチも、影響を受けるすべてのバージョンの FortiOS 向けにリリースされています。また、FortiGuardシグネチャを展開して、攻撃トラフィックを監視し、対応できるようにしています。FortiGuard Labsは、引き続き世界中の攻撃活動を積極的に監視し、必要に応じて追加のアップデートを提供していきます。
お客様のセキュリティはフォーティネットの最優先事項であり、お客様との積極的なコミュニケーションを継続しています。お客様には、ファームウェアのアップグレードを第一の推奨ソリューションとして、すべての適切なパッチアップデートとシグネチャを直ちに実施することを強くお勧めします。
業界をリードするベストプラクティスに加えて、当社では、複数の段階の検査、内部監査および第三者による監査、ソースコードの開発全体にわたって自動化されたトリガーおよびツールを含む定期的なレビュープロセスに従い、遵守しています。
以下のようなプロセスとベストプラクティスを強化しました。