FortiOSに新たなセキュリティリスク CVSS v3スコア9.6で深刻度「Critical」：セキュリティニュースアラート

FortinetはFortiOSのセキュリティ脆弱性CVE-2024-21762を公表した。この脆弱性はsslvpndに存在し、CVSS v3で緊急度「Critical」スコア9.6と評価された。対象製品は幅広いバージョンに及び、未承認コード実行のリスクがある。

[後藤大地，有限会社オングス]

　Fortinetは2024年2月8日（現地時間、以下同じ）、「FortiOS」に領域外書き込みによるセキュリティ脆弱（ぜいじゃく）性CVE-2024-21762が存在すると発表した。この脆弱性はsslvpndに存在し、共通脆弱性評価システム（CVSS）v3でスコア値9.6、深刻度が緊急（Critical）と分析されている。対象となる製品はFortiOS 6.0系から7.4.2までおよび「FortiProxy」の複数バージョンにわたる。このセキュリティ脆弱性を悪用された場合には、許可されていないコードやコマンドが実行される危険性がある。

　Fortinetは影響を受ける全てのユーザーに対して速やかに対応版へのアップデートを推奨しており、一時的な回避策としてSSLを無効化することも提案している。CISAも注意喚起しておりすでに悪用されていることを警告している。

PSIRT｜FortiGuard（出典：FortinetのWebサイト）

既に悪用を確認　アップデートが必要な FortiOSとFortiProxyは？

　セキュリティ脆弱性の影響を受けるとされる製品およびバージョンは次の通りだ。

• FortiOS 7.4.0から7.4.2までのバージョン
• FortiOS 7.2.0から7.2.6までのバージョン
• FortiOS 7.0.0から7.0.13までのバージョン
• FortiOS 6.4.0から6.4.14までのバージョン
• FortiOS 6.2.0から6.2.15までのバージョン
• FortiOS 6.0系全てのバージョン
• FortiProxy 7.4.0から7.4.2までのバージョン
• FortiProxy 7.2.0から7.2.8までのバージョン
• FortiProxy 7.0.0から7.0.14までのバージョン
• FortiProxy 2.0.0から2.0.13までのバージョン
• FortiProxy 1.2系全てのバージョン
• FortiProxy 1.1系全てのバージョン
• FortiProxy 1.0系す全てのバージョン

　セキュリティ脆弱性が修正された製品およびバージョンは次の通りだ。

• FortiOS 7.4.3
• FortiOS 7.2.7
• FortiOS 7.0.14
• FortiOS 6.4.15
• FortiOS 6.2.16
• FortiProxy 7.4.3
• FortiProxy 7.2.9
• FortiProxy 7.0.15
• FortiProxy 2.0.14

　次の製品およびバージョンに関してはセキュリティ脆弱性が修正されたバージョンに移行する必要があるとされている。

• FortiOS 6.0系
• FortiProxy 1.2系
• FortiProxy 1.1系
• FortiProxy 1.0系

　SSLを無効化することで問題を一時的に回避することができる。なお、Webモードを無効化しても回避策とはならない点に注意が必要だ。Fortinetは「このセキュリティ脆弱性がすでに広く悪用されている」と指摘しており、該当するユーザーは迅速にアップデートを適用することが望まれる。アップデート手順は「Upgrade Path Tool Table」で確認できる。

　今回見つかったセキュリティ脆弱性については、米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁（CISA）も注意喚起している。同庁は「Known Exploited Vulnerabilities Catalog」カタログに追加し、既に悪用されていることを公表して警戒を呼びかけている。