Fortinet, Inc.は12月9日、複数のFortinet製品における暗号署名の不適切な検証の脆弱性について発表した。
FortiOS、FortiWeb、FortiProxy、およびFortiSwitchManagerには暗号署名の不適切な検証の脆弱性が存在し、デバイスで当該機能が有効化されている場合、認証されていない攻撃者が細工されたSAMLメッセージを介してFortiCloud SSOログイン認証をバイパスする可能性がある。
FortiCloud SSOログイン機能は、デフォルトの工場出荷時設定では有効化されていないが、管理者がデバイスのGUIからFortiCareに登録する場合に、登録ページで「FortiCloud SSOを使用した管理者ログインを許可する」を無効化しない限り、登録時にFortiCloud SSOログインが有効化される。
Fortinetでは、同脆弱性の影響を受けないよう、一時的にFortiCloudログイン機能を無効化するよう呼びかけている。
