【サポート情報】FortiGateにおける脆弱性への対応のお願い

連絡
お知らせ管理番号:
0000002394
公開日:
2021年9月15日

お客様各位


日頃より弊社サービスをご利用くださり、誠にありがとうございます。

Fortinetより、2019年5月に修正された脆弱性(CVE-2018-13379)をアップデートしていないシステムから窃取されたSSL-VPNアクセス情報が公開されたとの告知がありました。

脆弱性対策としてFortigateのバージョンアップを行った場合でも、バージョンアップ後にSSL-VPNのIDおよびパスワードを変更していない場合、不正アクセスが行われる可能性があります。

本脆弱性の影響を受けるバージョンをご利用でSSL-VPN機能をご利用のお客様は、対策済みOSへのバージョンアップ、およびSSL-VPNで接続するユーザのパスワード変更をお願いいたします。

また、バージョンアップ後にパスワードの変更を実施していない場合にも、速やかにパスワードの変更をお願いいたします。バージョンアップの手順やご不明な点等のお問い合わせは、弊社サポート窓口または担当営業、エンジニアまでご連絡をお願いいたします。

 

  • 脆弱性概要

    脆弱性(CVE-2018-13379)が悪用された場合、遠隔の第三者が、製品が動作する機器において任意のコマンドを実行しSSL VPN 接続ユーザ名やパスワード等の情報を窃取される可能性があります。

  • 対象機器

    全モデル(FortiGateシリーズ、FortiWiFiシリーズ)

  • 影響を受けるバージョン

    下記のバージョンをご利用、かつSSL-VPN機能が有効な場合

    (FortiOS5.4系)FortiOS 5.4.6 から 5.4.12 までのバージョン
    (FortiOS5.6系)FortiOS 5.6.3 から 5.6.7 までのバージョン
    (FortiOS6.0系)FortiOS 6.0.0 から 6.0.4 までのバージョン

  • 対策

    以下の2点の操作をお願いいたします

    ①上記記載のバージョン以降の、改修済みソフトウェアバージョンへのバージョンアップ
    ②バージョンアップ後のSSL-VPN接続ユーザのパスワードを変更

    ※FortiOS5.4系は既にサポート終了しており、FortiOS5.6系は開発が終了しているため、バージョンアップ先はFortiOS6.0系(6.0.11)へバージョンアップすることを推奨します。

    ※同バージョンアップにつきましてはエンジニア作業を推奨とし、弊社にて承る際には、バージョンアップ保守契約がある場合は無償で作業を実施しますが、バージョンアップ保守契約がない場合は別途有償作業となります。作業費用につきましては、担当営業、エンジニアにご相談をお願いいたします。

  • 参考

    [Fortigate] ファームウェアのバージョン確認方法
    https://faq.mypage.otsuka-shokai.co.jp/app/answers/detail/a_id/308910

    [Fortigate] SSL-VPN接続ユーザのパスワードを変更する方法
    https://faq.mypage.otsuka-shokai.co.jp/app/answers/detail/a_id/311781