お客様各位
日頃より弊社サービスをご利用くださり、誠にありがとうございます。
Fortinetより、2019年5月に修正された脆弱性(CVE-2018-13379)をアップデートしていないシステムから窃取されたSSL-VPNアクセス情報が公開されたとの告知がありました。
脆弱性対策としてFortigateのバージョンアップを行った場合でも、バージョンアップ後にSSL-VPNのIDおよびパスワードを変更していない場合、不正アクセスが行われる可能性があります。
本脆弱性の影響を受けるバージョンをご利用でSSL-VPN機能をご利用のお客様は、対策済みOSへのバージョンアップ、およびSSL-VPNで接続するユーザのパスワード変更をお願いいたします。
また、バージョンアップ後にパスワードの変更を実施していない場合にも、速やかにパスワードの変更をお願いいたします。バージョンアップの手順やご不明な点等のお問い合わせは、弊社サポート窓口または担当営業、エンジニアまでご連絡をお願いいたします。
-
脆弱性概要
脆弱性(CVE-2018-13379)が悪用された場合、遠隔の第三者が、製品が動作する機器において任意のコマンドを実行しSSL VPN 接続ユーザ名やパスワード等の情報を窃取される可能性があります。
-
対象機器
全モデル(FortiGateシリーズ、FortiWiFiシリーズ)
-
影響を受けるバージョン
下記のバージョンをご利用、かつSSL-VPN機能が有効な場合
(FortiOS5.4系)FortiOS 5.4.6 から 5.4.12 までのバージョン
(FortiOS5.6系)FortiOS 5.6.3 から 5.6.7 までのバージョン
(FortiOS6.0系)FortiOS 6.0.0 から 6.0.4 までのバージョン
-
対策
以下の2点の操作をお願いいたします
①上記記載のバージョン以降の、改修済みソフトウェアバージョンへのバージョンアップ
②バージョンアップ後のSSL-VPN接続ユーザのパスワードを変更
※FortiOS5.4系は既にサポート終了しており、FortiOS5.6系は開発が終了しているため、バージョンアップ先はFortiOS6.0系(6.0.11)へバージョンアップすることを推奨します。
※同バージョンアップにつきましてはエンジニア作業を推奨とし、弊社にて承る際には、バージョンアップ保守契約がある場合は無償で作業を実施しますが、バージョンアップ保守契約がない場合は別途有償作業となります。作業費用につきましては、担当営業、エンジニアにご相談をお願いいたします。
-
参考
[Fortigate] ファームウェアのバージョン確認方法
https://faq.mypage.otsuka-shokai.co.jp/app/answers/detail/a_id/308910
[Fortigate] SSL-VPN接続ユーザのパスワードを変更する方法
https://faq.mypage.otsuka-shokai.co.jp/app/answers/detail/a_id/311781
