お知らせ

【KAGOYA:273914】FortiOS 脆弱性対応のご案内

2020年12月07日

平素は当社サービスをご利用いただき誠にありがとうございます。

このほど、ハッカー集団によりFortinet製SSL-VPNの脆弱性にパッチ未適用のリスト約5万件が公開されるという事態が発生しました。

■JPCERT/CC「Fortinet 社製 FortiOS の SSL VPN 機能の脆弱性 (CVE-2018-13379) の影響を受けるホストに関する情報の公開について」
 https://www.jpcert.or.jp/newsflash/2020112701.html
 
FortiOSの特定のバージョンには、SSL-VPNをご利用の場合、パストラバーサルの脆弱性(CVE-2018-13379)が存在します。
パッチ未適用の場合、上記で公開された情報を元に、攻撃を受ける可能性がございます。

───────────────────────────────────────
 CVE-2018-13379 概要
───────────────────────────────────────
 影響を受ける製品
 FortiOS 6.0.0から6.0.4
 FortiOS 5.6.3から5.6.7
 FortiOS 5.4.6から5.4.12
 ※ 上記以外のバージョンは影響を受けません。
 ※ SSL VPNサービスが有効(webモードもしくはトンネルモード)である場合のみ影響を受けます。
 
 詳細情報
 FortiOS SSL VPN Webポータルのパストラバーサルの脆弱性により、 認証されていない攻撃者が特別に細工されたHTTPリソースリクエストを介してFortiOSシステムファイルを ダウンロードする可能性があります。

 想定される影響
 任意のファイルを読み取り、認証情報などの機微な情報を取得する可能性があります。
 
 対策方法
 FortiOS 6.2.0以降のバージョンにバージョンアップを行う
 FortiOS 6.0.5以降のバージョンにバージョンアップを行う
 FortiOS 5.6.8以降のバージョンにバージョンアップを行う
 FortiOS 5.4.13以降のバージョンにバージョンアップを行う
 ※FortiOS 5.4.Xは2018年12月21日で技術サポートが終了しております。
  FortiOS 5.4をご利用の場合は5.6以降へのバージョンアップをご検討ください。
───────────────────────────────────────
 
つきましては、ご利用のFortinet機器でのFortiOSバージョンアップを行い、対策をお取りくださいますようお願いいたします。

※対象のお客様には、別途メールにてご案内しております。
※Fortinet製品でSSL-VPNをご利用のお客様のみに影響がございます。