「FortiOS」および「FortiProxy」のSSL-VPNトンネルモードに重大な脆弱性 急ぎ対処をセキュリティニュースアラート

Fortinetは「FortiOS」および「FortiProxy」のSSL-VPNトンネルモードに脆弱性があることを報告した。これを悪用されるとIPアドレスを偽装してセキュリティ制御を回避する可能性がある。

» 2024年05月17日 07時30分 公開
[後藤大地有限会社オングス]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 Fortinetは2024年5月14日(現地時間)、「FortiOS」および「FortiProxy」のSSL-VPNトンネルモードに重大な脆弱(ぜいじゃく)性が見つかったと報告した。影響を受ける製品を使用している場合は早急なアップデートが必要となる。

Fortinetのトンネルモードに重大な脆弱性 急ぎアップデートを

 「FG-IR-23-225」として識別されたこの欠陥が悪用された場合、特別に細工したパケットが送信され、IPアドレスを偽装してセキュリティ制御を回避する可能性がある。この問題は、FortiOSおよびFortiProxyの複数のバージョンに影響することが報告されている。

 脆弱性の影響を受けるバージョンは以下の通りだ。

  • FortiOS 7.4(7.4.0 ~ 7.4.1)
  • FortiOS 7.2(7.2.0 ~ 7.2.7)
  • FortiOS 7.0(7.0.0 ~ 7.0.12)
  • FortiOS 6.4(全てのバージョン)
  • FortiOS 6.2(全てのバージョン)
  • FortiProxy 7.4(7.4.0 ~ 7.4.1)
  • FortiProxy 7.2(7.2.0 ~ 7.2.7)
  • FortiProxy 7.0(7.0.0 ~ 7.0.13)
  • FortiProxy 2.0(全てのバージョン)

 脆弱性が修正されたバージョンは以下の通りだ。

  • FortiOS 7.4.2およびこれ以降のバージョン
  • FortiOS 7.2.8およびこれ以降のバージョン
  • FortiOS 7.0.13およびこれ以降のバージョン
  • FortiProxy 7.4.2およびこれ以降のバージョン
  • FortiProxy 7.2.8およびこれ以降のバージョン
  • FortiProxy 7.0.14およびこれ以降のバージョン

 FortiOS 6.4および6.2、FortiProxy 2.0を使用している場合は脆弱性が修正されたバージョンへの移行が望ましい。

 この脆弱性への対処法は提供されていないため、該当製品を使用している場合は問題が修正されたバージョンに速やかにアップデートすることが推奨されている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ