一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月25日、Fortinet製FortiManagerにおける重要な機能に対する認証の欠如の脆弱性について発表した。影響を受けるシステムは以下の通り。
・CVE-2024-47575の脆弱性
FortiManager バージョン7.6.0
FortiManager バージョン7.4.0から7.4.4まで
FortiManager 7.2.0から7.2.7まで
FortiManager 7.0.0から7.0.12まで
FortiManager 6.4.0から6.4.14まで
FortiManager 6.2.0から6.2.12まで
FortiManager Cloud 7.4.1から7.4.4まで
FortiManager Cloud 7.2.1から7.2.7まで
FortiManager Cloud 7.0.1から7.0.12まで
FortiManager Cloud 6.4系のすべてのバージョン
旧バージョンのFortiAnalyzer(1000E、1000F、2000E、3000E、3000F、3000G、3500E、3500F、3500G、3700F、3700G、3900E)も、FortiAnalyzer上のFortiManagerで「fmg-status」が有効な場合、またはfgfmサービスが有効となっているインタフェースが1つ以上存在する場合、本脆弱性の影響を受ける。
・CVE-2024-23113の脆弱性
FortiOS 7.4.0から7.4.2まで
FortiOS 7.2.0から7.2.6まで
FortiOS 7.0.0から7.0.13まで
FortiPAM 1.2系すべてのバージョン
FortiPAM 1.1系すべてのバージョン
FortiPAM 1.0系すべてのバージョン
FortiProxy 7.4.0から7.4.2まで
FortiProxy 7.2.0から7.2.8まで
FortiProxy 7.0.0から7.0.15まで
FortiSwitchManager 7.2.0から7.2.3まで
FortiSwitchManager 7.0.0から7.0.3まで
Fortinetは現地時間10月23日に、FortiManagerにおける重要な機能に対する認証の欠如の脆弱性(CVE-2024-47575)に関するアドバイザリ(FG-IR-24-423)を公開している。本脆弱性が悪用されることで、認証されていない遠隔の第三者が細工されたリクエストを送信し、任意のコードまたはコマンドを実行する可能性がある。
Fortinetでは本脆弱性の悪用が報告されていることを公開しており、JPCERT/CCでも本脆弱性の悪用を示唆する情報を確認している。
Fortinetでは、本脆弱性を修正した下記バージョンへのアップグレードを推奨しており、JPCERT/CCでは十分なテストを実施の上で修正済みバージョンの適用を検討するよう呼びかけている。
・CVE-2024-47575の脆弱性
FortiManager 7.6.1およびそれ以降
FortiManager 7.4.5およびそれ以降
FortiManager 7.2.8およびそれ以降
FortiManager 7.0.13およびそれ以降
FortiManager 6.4.15およびそれ以降
FortiManager 6.2.13およびそれ以降
FortiManager Cloud 7.4.5およびそれ以降
FortiManager Cloud 7.2.8およびそれ以降
FortiManager Cloud 7.0.13およびそれ以降
FortiManager Cloud 6.4系 修正リリースに移行
・CVE-2024-23113の脆弱性
FortiOS バージョン7.4.3あるいはそれ以降
FortiOS バージョン7.2.7あるいはそれ以降
FortiOS バージョン7.0.14あるいはそれ以降
FortiProxy バージョン7.4.3あるいはそれ以降
FortiProxy バージョン7.2.9あるいはそれ以降
FortiProxy バージョン7.0.16あるいはそれ以降
FortiSwitchManager 7.2.4あるいはそれ以降
FortiSwitchManager 7.0.4あるいはそれ以降
FortiPAM 修正リリースに移行
またFortinetでは、本脆弱性に対し修正済みバージョンの適用ができない場合、下記の回避策を提供している。
・CVE-2024-47575の脆弱性
バージョン7.6.0を除く、7.0.12以上、7.2.5以上、7.4.3以上の場合、「fgfm-deny-unknown」の設定を有効にする
バージョン7.6.0を除く、7.0.12以上、7.2.5以上、7.4.3以上の場合、FortiManager(FMG)でFortiAnalyzer(FAZ)が有効の場合、「detect-unregistered-log-device」の設定を無効にして、syslog経由での未承認デバイス追加をブロックする
バージョン7.6.0を除く、7.0.12以上、7.2.5以上、7.4.3以上の場合、FortiGateのアップデートまたはWebフィルタリングが有効の場合、「unreg-dev-option」の設定をignoreにして、FDS経由での未承認デバイス追加をブロックする
バージョン7.2.0以降の場合、FortiManagerで接続が許可されるFortiGateのIPアドレスをポリシーで制限する
・CVE-2024-23113の脆弱性
各インタフェースでfgfmアクセスを削除無効にする
JPCERT/CCではCVE-2024-47575について、Fortinetが提供する最新の情報などを参考に、脆弱性を悪用する攻撃の被害を受けていないか確認することを推奨している。
