情報セキュリティ

FortiOS SSL-VPN の脆弱性対策について(CVE-2022-42475)

最終更新日:2022年12月22日

  1. 追記すべき情報がある場合には、その都度このページを更新する予定です。

概要

FortiOS SSL-VPN は、リモートアクセスを実現するための VPN 製品です。

この FortiOS SSL-VPN において、ヒープベースのバッファオーバーフローの脆弱性が確認されています。

本脆弱性が悪用されると、認証されていない遠隔の第三者によって細工したリクエストを送信され、任意のコードやコマンドを実行される可能性があります。

本脆弱性を悪用した攻撃が確認されており、今後被害が拡大するおそれがあるため、早急にアップデートを実施してください。

影響を受けるシステム

  • FortiOS バージョン 7.2.0 から 7.2.2 まで
  • FortiOS バージョン 7.0.0 から 7.0.8 まで
  • FortiOS バージョン 6.4.0 から 6.4.10 まで
  • FortiOS バージョン 6.2.0 から 6.2.11 まで
  • FortiOS-6K7K バージョン 7.0.0 から 7.0.7 まで
  • FortiOS-6K7K バージョン 6.4.0 から 6.4.9 まで
  • FortiOS-6K7K バージョン 6.2.0 から 6.2.11 まで
  • FortiOS-6K7K バージョン 6.0.0 から 6.0.14 まで

---2022 年 12 月 14 日 更新---

  • FortiOS バージョン 6.0.0 から 6.0.15 まで
  • FortiOS バージョン 5.6.0 から 5.6.14 まで
  • FortiOS バージョン 5.4.0 から 5.4.13 まで
  • FortiOS バージョン 5.2.0 から 5.2.15 まで
  • FortiOS バージョン 5.0.0 から 5.0.14 まで

対策

1.脆弱性の解消 - アップデートを実施

開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。

  • FortiOS バージョン 7.2.3 あるいはそれ以降
  • FortiOS バージョン 7.0.9 あるいはそれ以降
  • FortiOS バージョン 6.4.11 あるいはそれ以降
  • FortiOS バージョン 6.2.12 あるいはそれ以降
  • FortiOS-6K7K バージョン 7.0.8 あるいはそれ以降
  • FortiOS-6K7K バージョン 6.4.10 あるいはそれ以降
  • FortiOS-6K7K バージョン 6.2.12 あるいはそれ以降
  • FortiOS-6K7K バージョン 6.0.15 あるいはそれ以降

---2022 年 12 月 22 日 更新---

  • FortiOS バージョン 6.0.16 あるいはそれ以降

---2022 年 12 月 14 日 更新---

2.脆弱性の暫定的な回避策

製品開発者によると次の回避策を適用することで、本脆弱性の影響を軽減できるとのことです。

  • SSL-VPN を無効にする

3.推奨対応

製品開発者は当該製品に対し、脆弱性を悪用する攻撃の被害を受けていないか確認するため、以下の調査を実施することを推奨しています。

  • 機器ログに脆弱性の悪用を示すログが記録されていないか
  • 機器に不審なファイルが設置されていないか
  • 機器から不審な通信先への通信が発生していないか

詳しくは、開発者が提供する下記サイトの情報をご確認ください。

---2022 年 12 月 22 日 更新---

お問い合わせ先

IPA セキュリティセンター

  • E-mail

    vuln-inqアットマークipa.go.jp

※個別のシステムおよび環境に関するご質問を頂いても回答ができない場合があります。詳しくは製品ベンダなどにお問合せください。

更新履歴

  • 2022年12月22日

    対策の内容を更新

  • 2022年12月14日

    影響を受けるシステム及び対策の内容を更新

  • 2022年12月13日

    掲載