2024年2月8日(現地時間)、FortinetはFortiOSにおいて深刻な脆弱性 CVE-2024-21762 が確認されたとしてセキュリティ情報を公開し、同製品を利用する組織へ対応を呼びかけました。ここでは関連する情報をまとめます。
脆弱性の概要
- Fortinetはセキュリティ情報 FG-IR-24-015を公開し、利用組織へ対応を呼びかけ。詳細は開示されていないが、既に脆弱性が悪用されている可能性について当該情報で記載している他、米国CISAはKEVカタログにこの脆弱性を追加している。国内でもJPCERT/CC、IPAが注意喚起を発出している。
- CVE-2024-21762は境界外の書き込みが可能な脆弱性(CWE-787)。悪用された場合、特別に細工したHTTPリクエストを介して任意のコード(またはコマンド)が実行される恐れがある。認証の必要なく攻撃を行うことが可能。
- 影響を受けるバージョンのうち、メーカーサポートが終了(EOS)しているForti OS 6.0/6.2系が含まれている。6.0系は修正バージョンの提供が行われておらず、Fortinetは修正されたメジャーバージョンへの移行を推奨。
- 同日に7.0/7.2/7.4系のFortiOSを対象に別件の脆弱性(CVE-2024-23113)など計3件の脆弱性情報が公開されており、最新版にバージョンアップをすることで脆弱性は解消される。(ただし、FortiProxy 7.0系はサポート対象のバージョンへ移行推奨)これら3件のセキュリティ情報で悪用状況に関する記載は行われていない。
| CVE | CVE-2024-21762 |
|---|---|
| CWE | CWE-787 Out-of-bounds Write |
| CVSS | 9.8 (base)/5.9(Impact)/3.9(Exploitability) 攻撃元区分: ネットワーク 攻撃条件の複雑さ: 低 攻撃に必要な特権レベル: 不要 利用者の関与: 不要 影響の想定範囲: 変更なし 機密性への影響: 高 完全性への影響: 高 可用性への影響: 高 |
| EPSS | 1.18% (2024/02/10時点) |
| 深刻度 | Critical |
| 悪用の状況 | Fortinetは悪用可能性示唆。CISAは2/9にKEV追加済。PoC公開は確認できず。(2024/02/10時点) |
対策
- 脆弱性が修正されたバージョンへ更新(または修正されたメジャーバージョンへの移行)を行う。
- SSL-VPN機能の無効化により脆弱性影響の回避が可能であるため更新や移行が行えない場合、これを回避策とすることが可能。なお、Webモードの無効化は回避策とならないため注意。
| 影響を受けるForti OSバージョン | 修正バージョン |
|---|---|
| 7.4系(7.4.0 ~ 7.4.2) | 7.4.3以降 |
| 7.2系(7.2.0 ~ 7.2.6) | 7.2.7以降 |
| 7.0系(7.0.0 ~ 7.0.13) | 7.0.14以降 |
| 6.4系(6.4.0 ~ 6.4.14) | 6.4.15以降 |
| 6.2系(6.2.0 ~ 6.2.15) | 6.2.16以降 (EOS済) |
| 6.0系(全バージョン) | 提供無し (EOS済) |
- 7.6系のFortiOSはCVE-2024-21762の影響を受けない。
関連情報
- JPCERT/CC Fortinet製FortiOSの境域外書き込みの脆弱性(CVE-2024-21762)に関する注意喚起
- IPA Fortinet 製 FortiOS SSL VPN の脆弱性対策について(CVE-2024-21762)
- 日立システムズ [PDF] 【脆弱性】FortiOS の SSL-VPN 機能における境界外書き込みの脆弱性(CVE-2024-21762)について
- tenable CVE-2024-21762: Critical Fortinet FortiOS Out-of-Bound Write SSL VPN Vulnerability
- CISA Fortinet Releases Security Advisories for FortiOS
更新履歴
- 2024年2月11日 AM 新規作成
