平素は当社サービスをご利用いただき誠にありがとうございます。
このほど、ハッカー集団によりFortinet製SSL-VPNの脆弱性にパッチ未適用のリスト約5万件が公開されるという事態が発生しました。
■JPCERT/CC「Fortinet 社製 FortiOS の SSL VPN 機能の脆弱性 (CVE-2018-13379) の影響を受けるホストに関する情報の公開について」
https://www.jpcert.or.jp/newsflash/2020112701.html
FortiOSの特定のバージョンには、SSL-VPNをご利用の場合、パストラバーサルの脆弱性(CVE-2018-13379)が存在します。
パッチ未適用の場合、上記で公開された情報を元に、攻撃を受ける可能性がございます。
───────────────────────────────────────
CVE-2018-13379 概要
───────────────────────────────────────
影響を受ける製品
FortiOS 6.0.0から6.0.4
FortiOS 5.6.3から5.6.7
FortiOS 5.4.6から5.4.12
※ 上記以外のバージョンは影響を受けません。
※ SSL VPNサービスが有効(webモードもしくはトンネルモード)である場合のみ影響を受けます。
詳細情報
FortiOS SSL VPN Webポータルのパストラバーサルの脆弱性により、 認証されていない攻撃者が特別に細工されたHTTPリソースリクエストを介してFortiOSシステムファイルを ダウンロードする可能性があります。
想定される影響
任意のファイルを読み取り、認証情報などの機微な情報を取得する可能性があります。
対策方法
FortiOS 6.2.0以降のバージョンにバージョンアップを行う
FortiOS 6.0.5以降のバージョンにバージョンアップを行う
FortiOS 5.6.8以降のバージョンにバージョンアップを行う
FortiOS 5.4.13以降のバージョンにバージョンアップを行う
※FortiOS 5.4.Xは2018年12月21日で技術サポートが終了しております。
FortiOS 5.4をご利用の場合は5.6以降へのバージョンアップをご検討ください。
───────────────────────────────────────
つきましては、ご利用のFortinet機器でのFortiOSバージョンアップを行い、対策をお取りくださいますようお願いいたします。
※対象のお客様には、別途メールにてご案内しております。
※Fortinet製品でSSL-VPNをご利用のお客様のみに影響がございます。