Fortinet 製 FortiOS SSL VPN にリモートからのコード実行の脆弱性 | ScanNetSecurity
2024.05.25(土)

Fortinet 製 FortiOS SSL VPN にリモートからのコード実行の脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月9日、Fortinet 製 FortiOS SSL VPN の脆弱性について発表した。影響を受けるシステムは以下の通り。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月9日、Fortinet 製 FortiOS SSL VPN の脆弱性について発表した。影響を受けるシステムは以下の通り。

FortiOS バージョン 7.4.0 から 7.4.2
FortiOS バージョン 7.2.0 から 7.2.6
FortiOS バージョン 7.0.0 から 7.0.13
FortiOS バージョン 6.4.0 から 6.4.14
FortiOS バージョン 6.2.0 から 6.2.15
FortiOS バージョン 6.0 系の全てのバージョン

 Fortinet の FortiOS にはSSL VPN 機能にリモートからのコード実行の脆弱性が存在し、認証されていない遠隔の第三者によって細工したリクエストを送信され、任意のコードまたはコマンドを実行される可能性がある。

 Fortinet では、アドバイザリにて本脆弱性に対して悪用の可能性を示唆している。

 IPAとJPCERT/CCでは、Fortinet が提供する情報をもとに最新版へアップデートするよう呼びかけている。Fortinet では、本脆弱性を修正した下記のバージョンをリリースしている。

FortiOS バージョン 7.4.3 あるいはそれ以降
FortiOS バージョン 7.2.7 あるいはそれ以降
FortiOS バージョン 7.0.14 あるいはそれ以降
FortiOS バージョン 6.4.15 あるいはそれ以降
FortiOS バージョン 6.2.16 あるいはそれ以降
FortiOS バージョン 6.0 系は、修正リリースへの移行を推奨

 なお Fortinet では、SSL-VPN を無効にすることで、本脆弱性の影響を軽減できるとしている。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 「mixi」に不正ログイン、個人データが第三者に漏えいしたおそれ

    「mixi」に不正ログイン、個人データが第三者に漏えいしたおそれ

  2. 攻撃者のあの手この手、リアルな攻撃&リアルな現状を知る専門家が警鐘を鳴らす ~ JPAAWG 6th General Meeting レポート

    攻撃者のあの手この手、リアルな攻撃&リアルな現状を知る専門家が警鐘を鳴らす ~ JPAAWG 6th General Meeting レポート

  3. 今日もどこかで情報漏えい 第24回「2024年4月の情報漏えい」虎屋? ヨックモック? 千疋屋? ~「手土産」は個人情報

    今日もどこかで情報漏えい 第24回「2024年4月の情報漏えい」虎屋? ヨックモック? 千疋屋? ~「手土産」は個人情報

  4. 求人情報サイト「バイトル」へ不正ログイン、新たにアローズコーポレーションでも判明

    求人情報サイト「バイトル」へ不正ログイン、新たにアローズコーポレーションでも判明

  5. サポート詐欺で発覚 ~ 産婦人科医師が不適切な状態で患者データ保管

    サポート詐欺で発覚 ~ 産婦人科医師が不適切な状態で患者データ保管

  6. 2 時間後に気づいたサポート詐欺 ~ 大東文化大学 非常勤講師 PC に不正アクセス

    2 時間後に気づいたサポート詐欺 ~ 大東文化大学 非常勤講師 PC に不正アクセス

  7. スマートグラスで入試問題を撮影しスマートフォンに転送、早稲田の受験生を書類送検

    スマートグラスで入試問題を撮影しスマートフォンに転送、早稲田の受験生を書類送検

  8. 2023年にネットバンキングの不正送金が急増した理由

    2023年にネットバンキングの不正送金が急増した理由

  9. 「JFおさかなマルシェ ギョギョいち」に不正アクセス、カード情報が漏えいした可能性

    「JFおさかなマルシェ ギョギョいち」に不正アクセス、カード情報が漏えいした可能性

  10. Dropbox Sign に不正アクセス、 NICT のセキュリティ講習「実践サイバー演習 RPCI」受講者の個人情報流出

    Dropbox Sign に不正アクセス、 NICT のセキュリティ講習「実践サイバー演習 RPCI」受講者の個人情報流出

ランキングをもっと見る