「FortiOS」および「FortiProxy」のSSL-VPNトンネルモードに重大な脆弱性 急ぎ対処を：セキュリティニュースアラート

Fortinetは「FortiOS」および「FortiProxy」のSSL-VPNトンネルモードに脆弱性があることを報告した。これを悪用されるとIPアドレスを偽装してセキュリティ制御を回避する可能性がある。

[後藤大地，有限会社オングス]

　Fortinetは2024年5月14日（現地時間）、「FortiOS」および「FortiProxy」のSSL-VPNトンネルモードに重大な脆弱（ぜいじゃく）性が見つかったと報告した。影響を受ける製品を使用している場合は早急なアップデートが必要となる。

Fortinetのトンネルモードに重大な脆弱性　急ぎアップデートを

　「FG-IR-23-225」として識別されたこの欠陥が悪用された場合、特別に細工したパケットが送信され、IPアドレスを偽装してセキュリティ制御を回避する可能性がある。この問題は、FortiOSおよびFortiProxyの複数のバージョンに影響することが報告されている。

　脆弱性の影響を受けるバージョンは以下の通りだ。

• FortiOS 7.4（7.4.0 ~ 7.4.1）
• FortiOS 7.2（7.2.0 ~ 7.2.7）
• FortiOS 7.0（7.0.0 ~ 7.0.12）
• FortiOS 6.4（全てのバージョン）
• FortiOS 6.2（全てのバージョン）
• FortiProxy 7.4（7.4.0 ~ 7.4.1）
• FortiProxy 7.2（7.2.0 ~ 7.2.7）
• FortiProxy 7.0（7.0.0 ~ 7.0.13）
• FortiProxy 2.0（全てのバージョン）

　脆弱性が修正されたバージョンは以下の通りだ。

• FortiOS 7.4.2およびこれ以降のバージョン
• FortiOS 7.2.8およびこれ以降のバージョン
• FortiOS 7.0.13およびこれ以降のバージョン
• FortiProxy 7.4.2およびこれ以降のバージョン
• FortiProxy 7.2.8およびこれ以降のバージョン
• FortiProxy 7.0.14およびこれ以降のバージョン

　FortiOS 6.4および6.2、FortiProxy 2.0を使用している場合は脆弱性が修正されたバージョンへの移行が望ましい。

　この脆弱性への対処法は提供されていないため、該当製品を使用している場合は問題が修正されたバージョンに速やかにアップデートすることが推奨されている。