Fortigate 脆弱性について (CVE-2023-25610)

連絡
お知らせ管理番号:
0000003485
公開日:
2023年3月10日

Fortinet社より、脆弱性問題(CVE-2023-25610)が発表されております。

本脆弱性の影響を受けるバージョンをご利用のお客様については、以下の対策へのご対応をお願いいたします。

対策への手順やご不明な点等のお問い合わせは、担当エンジニア、営業または、弊社サポート窓口までご連絡をお願いいたします。 

 

<脆弱性 CVE-2023-25610>

管理インターフェイスでのヒープバッファアンダーフロー 

 

【概要】

管理インターフェイスのバッファアンダーライト(「バッファアンダーフロー」)の脆弱性により、

リモートの認証されていない攻撃者が、特別に細工されたリクエストを介して、デバイス上で任意

のコードを実行したり、GUI上でDoSを実行したりする可能性があります。 

 

【影響】

サービス拒否および任意のコードの実行 

 

【対象バージョン・機器】

Fortigateをご導入のお客様にて、以下のFortiOSバージョンの場合に限定されます。  

FortiOS バージョン 7.2.0-7.2.3

FortiOS バージョン 7.0.0-7.0.9

FortiOS バージョン 6.4.0-6.4.11

FortiOS バージョン 6.2.0-6.2.12

FortiOS バージョン 6.0.xすべて 

 

※以下の機種はDos攻撃に関して影響を受け、それ以外の機種はDos攻撃並びに任意のコードの実行の影響を受けます。

FortiGateRugged-100C・FortiGate-100D・FortiGate-200C・FortiGate-200D・FortiGate-300C・FortiGate-3600A・FortiGate-5001FA2・FortiGate-5002FB2・FortiGate-60D・FortiGate-620B・FortiGate-621B・FortiGate-60D-POE・FortiWiFi-60D・FortiWiFi-60D-POE・FortiGate-300C-Gen2・FortiGate-300C-DC-Gen2・FortiGate-300C-LENC-Gen2・FortiWiFi-60D-3G4G-VZW・FortiGate-60DH・FortiWiFi-60DH・FortiGateRugged-60D・FortiGate-VM01-Hyper-V・FortiGate-VM01-KVM・FortiWiFi-60D-I・FortiGate-60D-Gen2・FortiWiFi-60D-J・FortiGate-60D-3G4G-VZW・FortiWifi-60D-Gen2・FortiWifi-60D-Gen2-J・FortiWiFi-60D-T・FortiGateRugged-90D・FortiWifi-60D-Gen2-U・FortiGate-50E・FortiWiFi-50E・FortiGate-51E・FortiWiFi-51E・FortiWiFi-50E-2R・FortiGate-52E・FortiGate-40F・FortiWiFi-40F・FortiGate-40F-3G4G・FortiWiFi-40F-3G4G・FortiGate-40F-3G4G-NA・FortiGate-40F-3G4G-EA・FortiGate-40F-3G4G-JP・FortiWiFi-40F-3G4G-NA・FortiWiFi-40F-3G4G-EA・FortiWiFi-40F-3G4G-JP・FortiGate-40F-Gen2・FortiWiFi-40F-Gen2 

 

【対処方法】

HTTP/HTTPS 管理インターフェイスを無効にする。

又は、管理インターフェイスに到達できる IP アドレスを制限する 。

 

【修正済みバージョン 】 

FortiOS バージョン 7.2.4以上

FortiOS バージョン 7.0.10以上

FortiOS バージョン 6.4.12以上

FortiOS バージョン 6.2.13以上 

 

【Fortinet FortiGuard Labs 】

https://www.fortiguard.com/psirt/FG-IR-23-001

 update:2023/03/17 14:00