情報セキュリティ

Fortinet 製 FortiOS および FortiProxy の脆弱性対策について(CVE-2023-25610)

最終更新日:2023年4月14日

※追記すべき情報がある場合には、その都度このページを更新する予定です。

概要

Fortinet 社より、FortiOS 及び FortiProxy に関する脆弱性が公表されました。

これらの製品において、ヒープベースのバッファアンダーフローの脆弱性が確認されています。

本脆弱性を悪用された場合、認証されていない遠隔の第三者によって細工したリクエストを送信され、任意のコードを実行されたり、サービス運用妨害(DoS)を受けたりする可能性があります。

今後被害が拡大する可能性があるため、早急に対策を実施してください。

影響を受けるシステム

--- 2023年 4 月 12 日更新 ---

  • FortiOS バージョン 7.2.0 から 7.2.3
  • FortiOS バージョン 7.0.0 から 7.0.9
  • FortiOS バージョン 6.4.0 から 6.4.11
  • FortiOS バージョン 6.2.0 から 6.2.12
  • FortiOS バージョン 6.0.0 から 6.0.16
  • FortiOS バージョン 5.x 系の全てのバージョン
  • FortiProxy バージョン 7.2.0 から 7.2.2
  • FortiProxy バージョン 7.0.0 から 7.0.8
  • FortiProxy バージョン 2.0.0 から 2.0.12
  • FortiProxy 1.2 系の全てのバージョン
  • FortiProxy 1.1 系の全てのバージョン
  • FortiOS-6K7K バージョン 7.0.5
  • FortiOS-6K7K バージョン 6.4.10
  • FortiOS-6K7K バージョン 6.4.8
  • FortiOS-6K7K バージョン 6.4.6
  • FortiOS-6K7K バージョン 6.4.2
  • FortiOS-6K7K バージョン 6.2.9 から 6.2.12
  • FortiOS-6K7K バージョン 6.2.6 から 6.2.7
  • FortiOS-6K7K バージョン 6.2.4
  • FortiOS-6K7K 6.0 系の全てのバージョン

※上記バージョンを利用している場合でも、特定のハードウェアは任意のコード実行の影響を受けないとのことです。詳細はベンダページをご確認ください。

対策

1.脆弱性の解消 - 修正プログラムの適用

開発者が提供する情報をもとに、最新版へアップデートしてください。開発者は、本脆弱性を修正した次のバージョンをリリースしています。
--- 2023年 4 月 12 日更新 ---

  • FortiOS バージョン 7.4.0 あるいはそれ以降
  • FortiOS バージョン 7.2.4 あるいはそれ以降
  • FortiOS バージョン 7.0.10 あるいはそれ以降
  • FortiOS バージョン 6.4.12 あるいはそれ以降
  • FortiOS バージョン 6.2.13 あるいはそれ以降
  • FortiOS バージョン 6.0.17 あるいはそれ以降
    バージョン 6.0.17 については、今後リリース予定とのことです。
  • FortiProxy バージョン 7.2.3 あるいはそれ以降
  • FortiProxy バージョン 7.0.9 あるいはそれ以降
  • FortiOS-6K7K バージョン 7.0.10 あるいはそれ以降
  • FortiOS-6K7K バージョン 6.4.12 あるいはそれ以降
  • FortiOS-6K7K バージョン 6.2.13 あるいはそれ以降

2.脆弱性の暫定的な回避策

製品開発者によると、次の回避策を適用することで、本脆弱性の影響を軽減できるとのことです。

  • HTTP/HTTPS 管理インターフェースを無効にする
  • HTTP/HTTPS 管理インターフェースにアクセスできる IP アドレスを制限する

お問い合わせ先

本件に関するお問い合わせ先

IPA セキュリティセンター

  • E-mail

    vuln-inqアットマークipa.go.jp

※個別のシステムおよび環境に関するご質問を頂いても回答ができない場合があります。詳しくは製品ベンダなどにお問合せください。

更新履歴

  • 2023年4月14日

    「対策」の内容を更新

  • 2023年4月12日

    「影響を受けるシステム」および「対策」の内容を更新

  • 2023年3月22日

    「影響を受けるシステム」および「対策」の内容を更新

  • 2023年3月9日

    掲載