FortiOSに発見された脆弱性に対する対応のお願い(CVE-2024-21762)
株式会社NTTPCコミュニケーションズ
2024年2月13日
平素はWebARENAをご利用くださいまして誠にありがとうございます。
この度、FortiOSに関して、緊急性の高い脆弱性が報告されました。
下記の条件に合致するお客さまは、ご対応の実施をお願いいたします。
■対象サービス
WebARENA SuitePRO V4で提供している仮想UTMオプション
WebARENA IndigoProで提供している仮想UTMオプション
■CVE-ID
CVE-2024-21762
■内容
Fortinet FortiOS の sslvpnd の処理に任意のコードを実行される問題が存在します。
この問題を利用された場合、リモートの攻撃者に細工された HTTP リクエストを送信されることによって、任意のコードを実行される可能性があります。
■本脆弱性の対象の確認
1)SSL-VPN設定の確認
- 仮想UTM管理画面にログインし、状態を確認します。
VPN>SSL-VPN設定
「SSL-VPNを有効」を確認
- OFFになっていれば→SSL-VPNは無効
- ONになっていれば→SSL-VPNは有効
- SSL-VPNが有効だったが、機能を利用しない場合は、「SSL-VPNを有効」をOFFにしてください。
※「SSL-VPNを有効」メニューがない場合
- リッスンするインターフェースが未設定である→SSL-VPNは無効
- リッスンするインターフェースが設定されている→SSL-VPNは有効
- SSL-VPNが有効だったが、機能を利用しない場合は、「リッスンするインターフェース」を未設定に設定してください。
仮想UTM右上の「>_」をクリックし、コンソールを開きます
以下のコマンドでインターフェースを未設定に設定します。
fv***** # config vpn ssl settings
fv*****(settings) # unset source-interface
fv***** (settings) # end
※「SSL-VPN設定」メニューがない場合
システム> 表示機能設定> 「SSL-VPN」を有効化し、適用ボタンを押してください。
そうすると、メニューが表示され、SSL-VPNが有効か無効か確認できます。
SSL-VPNが有効だったが、機能を利用しない場合は、「SSL-VPNを有効」をOFFにしてください。
- SSL-VPNを無効にしておく場合は、これ以上の対応は不要です。
SSL-VPNを有効にしておく場合、ご利用中のFortiOSのバージョンをご確認の上、対策済みバージョンの適用をお願いいたします。
2)適用バージョンの確認
オンラインマニュアルに従い、現在適用されているバージョンを確認します。
UTMのバージョン確認
以下のバージョンをご利用の場合脆弱性対策が必要です。
- FortiOS 6.0すべてのバージョン
- FortiOS 6.2.0から6.2.15まで
- FortiOS 6.4.0から6.4.14まで
- FortiOS 7.0.0から7.0.13まで
- FortiOS 7.2.0から7.2.6まで
- FortiOS 7.4.0から7.4.2まで
■対策
Fortinetから本脆弱性を修正したバージョンへのアップグレードが推奨されています。十分なテストを実施の上、修正済みバージョンの適用をご検討ください。
- FortiOS バージョン6.2.16あるいはそれ以降
- FortiOS バージョン6.4.15あるいはそれ以降
- FortiOS バージョン7.0.14あるいはそれ以降
- FortiOS バージョン7.2.7あるいはそれ以降
- FortiOS バージョン7.4.3あるいはそれ以降
バージョンアップを行わない場合、SSL-VPNを無効化して対策してください。