フォーティネット製品をお使いの皆様にご確認いただきたいこと
FortiOSのSSL-VPN機能におけるヒープベースのバッファーオーバーフローの脆弱性
フォーティネットは2022年12月12日(米国時間)、FortiOSのSSL-VPN機能に存在する脆弱性を公表しました。ここでは、FortiGate(FortiOS)およびFortiProxyのSSL-VPNに対するCriticalの脆弱性(CVE-2022-42475)について、アドバイザリーに基づいたご案内をいたします。
概要
FortiOSのSSL-VPN機能にヒープバッファオーバーフローの脆弱性があり、リモートの未認証の攻撃者が、任意のコードやコマンドを実行できる可能性があります。
フォーティネットでは、本脆弱性が悪用された攻撃の発生を認識しており、アドバイザリーをご参照の上、システムを直ちに検証することを推奨します。
影響を受けるOSバージョン
- FortiOS 7.2.0 ~ 7.2.2
- FortiOS 7.0.0 ~ 7.0.8
- FortiOS 6.4.0 ~ 6.4.10
- FortiOS 6.2.0 ~ 6.2.11
- FortiOS 6.0.0 ~ 6.0.15
- FortiOS 5.6.0 ~ 5.6.14
- FortiOS 5.4.0 ~ 5.4.13
- FortiOS 5.2.0 ~ 5.2.15
- FortiOS 5.0.0 ~ 5.0.14
- FortiGate 6000/7000シリーズ: FortiOS 7.0.0 ~ 7.0.7
- FortiGate 6000/7000シリーズ: FortiOS 6.4.0 ~ 6.4.9
- FortiGate 6000/7000シリーズ: FortiOS 6.2.0 ~ 6.2.11
- FortiGate 6000/7000シリーズ: FortiOS 6.0.0 ~ 6.0.14
- FortiProxy 7.2.0 ~ 7.2.1
- FortiProxy 7.0.0 ~ 7.0.7
- FortiProxy 2.0.0 ~ 2.0.11
- FortiProxy 1.2.0 ~ 1.2.13
- FortiProxy 1.1.0 ~ 1.1.6
- FortiProxy 1.0.0 ~ 1.0.7
対処方法
1. 脆弱性の暫定的な回避策
SSL-VPN機能を無効にしてください。
2. 脆弱性の解消
製品に応じて最新バージョンへのアップグレードをしてください。
- FortiOS 7.2.3以降
- FortiOS 7.0.9以降
- FortiOS 6.4.11以降
- FortiOS 6.2.12以降
- FortiOS 6.0.16以降
- FortiGate 6000/7000シリーズ: FortiOS 7.0.8以降
- FortiGate 6000/7000シリーズ: FortiOS 6.4.10以降
- FortiGate 6000/7000シリーズ: FortiOS 6.2.12以降
- FortiGate 6000/7000シリーズ: FortiOS 6.0.15以降
- FortiProxy 7.2.2以降
- FortiProxy 7.0.8以降
- FortiProxy 2.0.12以降(近日リリース予定)
※ 最新の情報はアドバイザリーにてご確認ください。
関連情報
PSIRT アドバイザリー
FG-IR-22-398
最新情報、攻撃の可能性を示すログのサンプル、
ワークアラウンドの詳細については、こちらをご参照ください
フォーティネットブログ
CVE-2022-42475 に関するアップデートについては、
こちらをご参照ください
