概要

FortiGateのOSであるFortiOSにおいてSSL VPNのユーザを制御する鍵の脆弱性 [CWE-639] により、認証済みの攻撃者がURL操作により他のユーザのブックマークにアクセスできる可能性があります。

バージョンごとの影響有無および対応方法

設定による回避策

SSL VPN Webモードの無効化。

アップグレード手順および注意事項

アップグレードにあたっては、製品出荷時にご案内しております弊社手順書、および各バージョンのFortinet社リリースノートをご確認いただき、具体的手順やアップグレードパス、注意事項をご確認ください。

【参考サイト】

FortiOS - Authorization bypass in SSLVPN bookmarks

概要

FortiGateのOSであるFortiOSにおいて、キャプティブポータルの境界外書き込みの脆弱性[CWE-787]およびスタックベースのバッファオーバーフロー[CWE-121]により、キャプティブポータルにアクセスできる内部攻撃者が特別な方法で任意のコードまたはコマンドを実行できる可能性があります。

バージョンごとの影響有無および対応方法

アップグレード手順および注意事項

アップグレードにあたっては、製品出荷時にご案内しております弊社手順書、および各バージョンのFortinet社リリースノートをご確認いただき、具体的手順やアップグレードパス、注意事項をご確認ください。

【参考サイト】

FortiOS - Out-of-bounds Write in captive portal

概要

FortiGateのOSであるFortiOSにおいて管理機能を実現しているfgfmdの書式文字列にかかわる脆弱性 [CWE-134] により、リモート攻撃者が特別に細工されたリクエストを介して任意のコードやコマンドを実行できる可能性があります。

バージョンごとの影響有無および対応方法

アップグレード手順及び注意事項

アップグレードにあたっては、製品出荷時にご案内しております弊社手順書、および各バージョンのFortinet社リリースノートをご確認いただき、具体的手順やアップグレードパス、注意事項をご確認ください。
弊社にて確認した限りでは、Ver.7.2.3へのアップデートと同時にCentral Management機能が自動的に有効化されることを確認しております。不要な場合は無効化をお願いいたします。
また、先日ご案内いたしました自動アップグレード機能有効化についても不要な場合は無効化をお願いいたします。

【参考サイト】

FortiOS - Format String Bug in fgfmd

FortiGate一部モデルにおける自動アップグレード機能のデフォルト有効化について

概要

FortiGateのOSであるFortiOSにおいてSSL VPN機能を実現しているsslvpndの境界外書き込み脆弱性 [CWE-787] により、リモート攻撃者が特別に細工されたHTTPリクエストを介して任意のコードやコマンドを実行できる可能性があります。

バージョンごとの影響有無および対応方法

アップグレード手順及び注意事項

アップグレードにあたっては、製品出荷時にご案内しております弊社手順書、および各バージョンのFortinet社リリースノートをご確認いただき、具体的手順やアップグレードパス、注意事項をご確認ください。
弊社にて確認した限りでは、Ver.7.2.7へのアップデートと同時にCentral Management（中央管理）機能が自動的に有効化されることを確認しております。不要な場合は無効化をお願いいたします。
また、先日ご案内いたしました自動アップグレード機能有効化についても不要な場合は無効化をお願いいたします。

【参考サイト】

FortiOS - Out-of-bound Write in sslvpnd

FortiGate一部モデルにおける自動アップグレード機能のデフォルト有効化について

概要

FortiGateの一部モデルにおいて、FortiOS自動アップグレード機能に関するパラメータ「auto-firmware-upgrade」のデフォルト値が、Ver7.2.6 /7.4.1にて無効(disable)から有効(enable)へ変更されました。
以前のバージョン(Ver. 7.2.5/7.4.0以前)から上記バージョンへアップグレードした場合も自動的に変更されます。
有効化されている場合、今後7.2/7.4系の新バージョンがリリースされた際、自動的にFortiOSのアップグレードとそれに伴う再起動が実行されます。

対象モデル

エントリーレベルのFortiGate

具体的には、100シリーズ未満のモデルが該当します。弊社内で確認した限りでは、FortiGate-80E等の旧世代機も含めたふた桁型番で有効化され、FortiGate-100E等の3桁型番では有効化されませんでした。

設定確認・無効化手順

• v7.2.6
  Ver.7.2系ではGUIからの設定確認および変更は実施できません。CLIから実施する必要があります。
• 設定確認手順
  

  CLIより以下のコマンドを実行します。

  　　　config system fortiguard
  　　　show full-config
  

  set auto-firmware-upgrade のパラメータがenableと表示されている場合、自動アップグレード機能が有効の状態です。

• 無効化手順
  

  無効化する場合、以下のコマンドを実行します。

  　　　set auto-firmware-upgrade disable
  

  コマンドを実行後、set auto-firmware-upgradeがdisableに変更されていれば完了です。

• v7.4.1
  Ver.7.4系ではGUIから設定確認および無効化が可能です。
• 設定確認手順
  • GUIログイン後、「システム」＞「ファームウェア&登録」を選択
  • 緑地に「Automatic patch upgrades enabled」と表示されている場合は自動アップグレード機能が有効になっています。
    青地に「Automatic patch upgrades disabled」と表示されている場合は自動アップグレード機能が無効になっています。
• 無効化手順
  • GUIログイン後、「システム」＞「ファームウェア&登録」を選択
  • 緑地の「Automatic patch upgrades enabled」をクリックします。
  • ポップアップが表示されますので、「Disable automatic patch upgrades」を選択しOKをクリックします。

  その後「Automatic patch upgrades disabled」と表示されれば完了です。

概要

FortiOSおよびFortiProxyのスタックベースのバッファオーバーフローの脆弱性[CWE-124]により、リモートの攻撃者が特別に細工したパケットを介して任意のコードまたはコマンドを実行できる可能性があります。

影響を受ける製品

• FortiOS 7.2.0から7.2.3
• FortiOS 7.0.0から7.0.10
• FortiProxy 7.2.0から7.2.2
• FortiProxy 7.0.0から7.0.9

影響を受けない製品

• 全てのFortiOS 6.4
• 全てのFortiOS 6.2
• 全てのFortiOS 6.0
• 全てのFortiProxy 2.x
• 全てのFortiProxy 1.x

対策方法

• FortiOS 7.4.0以降のバージョンにバージョンアップを行う
• FortiOS 7.2.4以降のバージョンにバージョンアップを行う
• FortiOS 7.0.11以降のバージョンにバージョンアップを行う
• FortiProxy 7.2.3以降のバージョンにバージョンアップを行う
• FortiProxy 7.0.10以降のバージョンにバージョンアップを行う

設定による回避策

①プロキシーポリシーまたはファイアウオールポリシーによって利用されるSSLインスペクションプロファイルでHTTP/2を無効にします。

カスタムdeep-inspection設定例

　　　config firewall ssl-ssh-profile
　　　　edit "custom-deep-inspection"
　　　　　set supported-alpn http1-1
　　　　next
　　　end

HTTP/2 support in proxy mode SSL inspection
https://docs.fortinet.com/document/fortigate/7.0.0/new-features/710924/http-2-support-in-proxy-mode-ssl-inspection

【参考サイト】

FortiOS/FortiProxy - Proxy mode with deep inspection - Stack-based buffer overflow

概要

FortiOS および FortiProxy SSL VPNのヒープベースのバッファオーバーフローの脆弱性 [CWE-122] により、リモート攻撃者が特別に細工されたリクエストを介して任意のコードまたはコマンドを実行できる可能性があります。

影響を受ける製品

• FortiProxy 7.2.0から7.2.3
• FortiProxy 7.0.0から7.0.9
• FortiProxy 2.0.0から2.0.12
• FortiProxy 1.2すべてのバージョン
• FortiProxy 1.1すべてのバージョン
• FortiOS 7.2.0から7.2.4
• FortiOS 7.0.0から7.0.11
• FortiOS 6.4.0から6.4.12
• FortiOS 6.2.0から6.2.13
• FortiOS 6.0.0から6.0.16

対策方法

アップデートする

• FortiProxy 7.2.4以降のバージョンにバージョンアップを行う
• FortiProxy 7.0.10以降のバージョンにバージョンアップを行う
• FortiOS 7.4.0以降のバージョンにバージョンアップを行う
• FortiOS 7.2.5以降のバージョンにバージョンアップを行う
• FortiOS 7.0.12以降のバージョンにバージョンアップを行う
• FortiOS 6.4.13以降のバージョンにバージョンアップを行う
• FortiOS 6.2.14以降のバージョンにバージョンアップを行う
• FortiOS 6.0.17以降のバージョンにバージョンアップを行う

設定による回避策

SSL-VPNを無効に設定する

【参考サイト】

Fortinet 製 FortiOS および FortiProxy の脆弱性対策について(CVE-2023-27997)

FortiOS & FortiProxy - Heap buffer overflow in sslvpn pre-authentication

概要

FortiOSのFclicenseデーモンにおける外部制御のフォーマット文字列の脆弱性[CWE-134]を利用すると、リモートの認証された攻撃者が特別に細工されたリクエストを介して任意のコードやコマンドを実行できる可能性があります。

影響を受ける製品

• FortiOS 7.2.0から7.2.4
• FortiOS 7.0.0から7.0.11
• FortiOS 6.4.0から6.4.12
• FortiOS 6.2.0から6.2.14
• FortiOS 6.0すべてのバージョン

対策方法

アップデートする

• FortiOS 7.4.0以降のバージョンにバージョンアップを行う
• FortiOS 7.2.5以降のバージョンにバージョンアップを行う
• FortiOS 7.0.12以降のバージョンにバージョンアップを行う
• FortiOS 6.4.13以降のバージョンにバージョンアップを行う
• FortiOS 6.2.15以降のバージョンにバージョンアップを行う

【参考サイト】

FortiOS - Format String Bug in Fclicense daemon

概要

FortiOSのNULLポインタ逆参照の脆弱性 [CWE-476] により、リモートの認証されていない攻撃者が特別に細工された HTTP リクエストを介して SSL-VPN デーモンをクラッシュさせる可能性があります。

影響を受ける製品

• FortiOS 7.2.0から7.2.4
• FortiOS 7.0.0から7.0.11
• FortiOS 6.4.0から6.4.12
• FortiOS 6.2.0から6.2.14
• FortiOS 6.0.0から6.0.16

対策方法

アップデートする

• FortiOS 7.4.0以降のバージョンにバージョンアップを行う
• FortiOS 7.2.5以降のバージョンにバージョンアップを行う
• FortiOS 7.0.12以降のバージョンにバージョンアップを行う
• FortiOS 6.4.13以降のバージョンにバージョンアップを行う
• FortiOS 6.2.15以降のバージョンにバージョンアップを行う
• FortiOS 6.0.17以降のバージョンにバージョンアップを行う

【参考サイト】

FortiOS - Null pointer dereference in sslvnd

概要

FortiOSに対し認証されていないリモートの攻撃者は、特別に細工したリクエストを介してデバイスで任意のコードを実行したり、サービス運用妨害(DoS)を実行できる可能性があります。

影響を受ける製品

• FortiOS 7.2.0から7.2.3
• FortiOS 7.0.0から7.0.9
• FortiOS 6.4.0から6.4.11
• FortiOS 6.2.0から6.2.12
• FortiOS 6.0全てのバージョン

対策方法

アップデートする

• FortiOS 7.4.0以降のバージョンにバージョンアップを行う
• FortiOS 7.2.4以降のバージョンにバージョンアップを行う
• FortiOS 7.0.10以降のバージョンにバージョンアップを行う
• FortiOS 6.4.12以降のバージョンにバージョンアップを行う
• FortiOS 6.2.13以降のバージョンにバージョンアップを行う

設定による回避策

①管理インターフェースへのHTTP/HTTPSアクセスを禁止する

②以下の手順で管理インターフェースにアクセスできるIPアドレスの制限を実施する

❶ファイアウオールアドレスを定義します。

　　　config firewall address
　　　　edit "my_allowed_addresses"
　　　　　set subnet <MY IP> <MY SUBNET>
　　　end

❷アドレスグループを作成します。

　　　config firewall addrgrp
　　　　edit "MGMT_IPs"
　　　　　set member "my_allowed_addresses"
　　　end

❸「local-in-policy」を作成します。
 管理インターフェース(ここではport1）に定義されたアドレスのみアクセスを許可します。

　　　config firewall local-in-policy
　　　　edit 1
　　　　　set intf port1
　　　　　set srcaddr "MGMT_IPs"
　　　　　set dstaddr "all"
　　　　　set action accept
　　　　　set service HTTPS HTTP
　　　　　set schedule "always"
　　　　　set status enable
　　　　next
　　　　edit 2
　　　　　set intf "all"
　　　　　set srcaddr "all"
　　　　　set dstaddr "all"
　　　　　set action deny
　　　　　set service HTTPS HTTP
　　　　　set schedule "always"
　　　　　set status enable
　　　　end

※ GUI管理アクセスでデフォルトポート以外を使用する場合は以下の設定を行ってください。

　　　config firewall service custom
　　　　edit GUI_HTTPS
　　　　　set tcp-portrange <admin-sport>
　　　　next
　　　　edit GUI_HTTP
　　　　　set tcp-portrange <admin-port>
　　　end

HAの予約済み管理インターフェイスを使用する場合、「local-in-policy」を少し異なる方法で構成する必要があります。
以下のサイトをご参照ください。

【参考サイト】

Technical Tip: How to configure a local-in policy on a HA reserved management interface

FortiOS / FortiProxy - Heap buffer underflow in administrative interface

Fortinet製 FortiOS および FortiProxy の脆弱性対策について(CVE-2023-25610)

概要

FortiOS SSL-VPN のヒープベースのバッファオーバーフローの脆弱性が存在します。

影響を受ける製品

• FortiOS 7.2.0から7.2.2
• FortiOS 7.0.0から7.0.8
• FortiOS 6.4.0から6.4.10
• FortiOS 6.2.0から6.2.11
• FortiOS 6.0.0から6.0.15
• FortiOS 5.6.0から5.6.14
• FortiOS 5.4.0から5.4.13
• FortiOS 5.2.0から5.2.15
• FortiOS 5.0.0から5.0.14

詳細情報

FortiOS SSL-VPN のヒープベースのバッファオーバーフローの脆弱性により、認証されていないリモートの攻撃者が特別に細工されたリクエストを介して任意のコードまたはコマンドを実行できる可能性があります。

想定される影響

認証されていないユーザーがリモートでデバイスをクラッシュさせ、コードを実行できる可能性があります。

対策方法

アップデートする

• FortiOS 7.2.3以降のバージョンにバージョンアップを行う
• FortiOS 7.0.9以降のバージョンにバージョンアップを行う
• FortiOS 6.4.11以降のバージョンにバージョンアップを行う
• FortiOS 6.2.12以降のバージョンにバージョンアップを行う
• FortiOS 6.0.16以降のバージョンにバージョンアップを行う

確認ポイント

本脆弱性が悪用されると、ログに次のエントリが生成されます。

  Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“

悪用されたデバイスに次のファイルシステムアーティファクトが存在する可能性があります。

  /data/lib/libips.bak
  /data/lib/libgif.so
  /data/lib/libiptcp.so
  /data/lib/libipudp.so
  /data/lib/libjepg.so
  /var/.sslvpnconfigbk
  /data/etc/wxd.conf
  /flash

FortiGateから疑わしいIPアドレスへの接続

  188.34.130.40:444
  103.131.189.143:30080,30081,30443,20443
  192.36.119.61:8443,444
  172.247.168.153:8033
  139.180.184.197
　66.42.91.32
　158.247.221.101
　107.148.27.117
　139.180.128.142
　155.138.224.122
　185.174.136.20

設定による回避策

SSL-VPNを無効に設定する

ベンダー情報

FG-IR-22-398 | FortiOS - heap-based buffer overflow in sslvpnd

JPCERT/CC注意喚起情報

FortiOSのヒープベースのバッファーオーバーフローの脆弱性（CVE-2022-42475）に関する注意喚起

概要

FortiOSに対し認証されていないリモートの攻撃者は、特別に細工したHTTPまたはHTTPSリクエストを介して管理インターフェイスで操作を実行できる可能性があります。

影響を受ける製品

• FortiOS 7.2.0から7.2.1
• FortiOS 7.0.0から7.0.6

対策方法

アップデートする

• FortiOS 7.2.2以降のバージョンにバージョンアップを行う
• FortiOS 7.0.7以降のバージョンにバージョンアップを行う

設定による回避策

① 管理インターフェースへのHTTP/HTTPSアクセスを禁止する
 または
② 以下の手順で管理インターフェースにアクセスできるIPアドレスの制限を実施する

1) ファイアウオールアドレスを定義します。

  config firewall address
    edit "my_allowed_addresses"
      set subnet <MY IP> <MY SUBNET>
  end

2) アドレスグループを作成します。

  config firewall addrgrp
    edit "MGMT_IPs"
      set member "my_allowed_addresses"
  end

3) 「local-in-policy」を作成します。
管理インターフェース(ここではport1）に定義されたアドレスのみアクセスを許可します。

  config firewall local-in-policy
    edit 1
      set intf port1
      set srcaddr "MGMT_IPs"
      set dstaddr "all"
      set action accept
      set service HTTPS HTTP
      set schedule "always"
      set status enable
    next
    edit 2
      set intf "all"
      set srcaddr "all"
      set dstaddr "all"
      set action deny
      set service HTTPS HTTP
      set schedule "always"
      set status enable
  end

※ GUI管理アクセスでデフォルトポート以外を使用する場合は以下の設定を行ってください。

  config firewall service custom
    edit GUI_HTTPS
      set tcp-portrange <admin-sport>
    next
    edit GUI_HTTP
      set tcp-portrange <admin-port>
  end

「local-in-policy」のpolicy1と2で指定した「HTTPS HTTP」の代わりに上記で設定したオブジェクトを使用してください。

ベンダー情報

FG-IR-22-377 | FortiOS/FortiProxy/FortiSwitchManager - Authentication bypass on administrative interface

JPCERT/CC注意喚起情報

Fortinet製FortiOS、FortiProxyおよびFortiSwitchManagerの認証バイパスの脆弱性（CVE-2022-40684）に関する注意喚起

概要

Fortinet FortiOS には、パストラバーサルの脆弱性が存在します。

影響を受ける製品

• FortiOS 6.0.0から6.0.4
• FortiOS 5.6.3から5.6.7
• FortiOS 5.4.6から5.4.12

※ 上記以外のバージョンは影響を受けません。
※ SSL VPNサービスが有効（webモードもしくはトンネルモード）である場合のみ影響を受けます。

詳細情報

FortiOS SSL VPN Webポータルのパストラバーサルの脆弱性により、 認証されていない攻撃者が特別に細工されたHTTPリソースリクエストを介してFortiOSシステムファイルを ダウンロードする可能性があります。

想定される影響

任意のファイルを読み取り、認証情報などの機微な情報を取得する可能性があります。

対策方法

アップデートする

• FortiOS 6.2.0以降のバージョンにバージョンアップを行う
• FortiOS 6.0.5以降のバージョンにバージョンアップを行う
• FortiOS 5.6.8以降のバージョンにバージョンアップを行う
• FortiOS 5.4.13以降のバージョンにバージョンアップを行う

※ FortiOS 5.4.Xは2018年12月21日で技術サポートが終了しております。
FortiOS 5.4をご利用の場合は5.6以降へのバージョンアップをご検討ください。

ベンダー情報

FG-IR-18-384 | PSIRT Advisory: FortiOS system file leak through SSL VPN via specially crafted HTTP resource requests

JVN情報

JVNDB-2018-015565 | Fortinet FortiOS におけるパストラバーサルの脆弱性

概要

Fortinet FortiOS には、マジックバックドアの脆弱性が存在します。

影響を受ける製品

• FortiOS 6.0.0から6.0.4
• FortiOS 5.6.0から5.6.8
• FortiOS 5.4.1から5.4.10

※ SSL VPNサービスが有効（webモードもしくはトンネルモード）で、 かつローカル認証を行っている場合のみ影響を受けます。
リモート認証（LDAPやRADIUS）でSSL VPN接続を行っているユーザは影響を受けません。

詳細情報

SSL VPN Webポータルの不適切な承認の脆弱性により、 認証されていない攻撃者が特別に細工されたHTTPリクエストを介してSSL VPN Webポータルユーザーの パスワードを変更される可能性があります。

想定される影響

SSL VPN Webポータルユーザーのパスワードを変更される可能性があります。

対策方法

アップデートする

• FortiOS 6.2.0以降のバージョンにバージョンアップを行う
• FortiOS 6.0.5以降のバージョンにバージョンアップを行う
• FortiOS 5.6.9以降のバージョンにバージョンアップを行う
• FortiOS 5.4.11以降のバージョンにバージョンアップを行う

※ FortiOS 5.4.Xは2018年12月21日で技術サポートが終了しております。
FortiOS 5.4をご利用の場合は5.6以降へのバージョンアップをご検討ください。

ベンダー情報

FG-IR-18-389 | PSIRT Advisory: Unauthenticated SSL VPN users password modification

JVN情報

JVNDB-2018-015563 | Fortinet FortiOS における認可に関する脆弱性