FortiGate脆弱性(CVE-2023-33308)について

連絡
お知らせ管理番号:
0000003813
公開日:
2023年7月14日

日頃より弊社サービスをご利用いただき誠にありがとうございます。

 

Fortinet社より、脆弱性問題(CVE-2023-33308)が発表されております。
本脆弱性の影響を受けるバージョンをご利用のお客様については、
以下の対策へのご対応をお願いいたします。
対策への手順やご不明な点等のお問い合わせは、担当エンジニア、営業または、
弊社サポート窓口までご連絡をお願いいたします。


<脆弱性 CVE-2023-33308>

FortiOS、FortiProxyにおけるスタックベースのバッファオーバーフロー


■概要
FortiOSおよびFortiProxyのスタックベースのオーバーフローの脆弱性[CWE-124]により、
リモート攻撃者はSSLディープインスペクションと併せてプロキシモードが使用されている際に、
プロキシポリシーまたはファイアウォールポリシーに細工したパケットを到達させることで、
任意のコードまたはコマンドを実行する可能性があります。


■影響
不正なコードまたはコマンドの実行


■対象バージョン・機器

Fortigateをご導入のお客様にて、以下のFortiOSバージョンの場合に限定されます。

 

FortiOSバージョン 7.2.0-7.2.3
FortiOSバージョン 7.0.0-7.0.10
FortiProxyバージョン 7.2.0-7.2.2
FortiProxyバージョン 7.0.0-7.0.9

 

▽以下のバージョンは対象外です
FortiOSバージョン 6.4系すべて
FortiOSバージョン 6.2系すべて
FortiOSバージョン 6.0系すべて
FortiProxyバージョン 2.xすべて
FortiProxyバージョン 1.xすべて

 


■暫定の対処方法
プロキシポリシーまたはプロキシモードのファイアウォールポリシーによって使用される
SSL検査プロファイルでの HTTP/2 サポートを無効にします。

 

設定例)
custom-deep-inspectionプロファイルに対するコマンド実行例

 

config firewall ssl-ssh-profile
   edit "custom-deep-inspection"
      set supported-alpn http1-1
   next
end


 

■恒久の対処方法
修正済みバージョンへのバージョンアップを実施お願いいたします。

FortiOS 7.4.0以上にアップグレード
FortiOS 7.2.4以上にアップグレード
FortiOS 7.0.11以上にアップグレード
FortiProxy 7.2.3以上にアップグレード
FortiProxy 7.0.10以上にアップグレード  


また、脆弱性に関しての詳細につてきましては、以下のメーカサイトよりご確認をお願いいたします。

 

■Fortinet FortiGuard Labs

https://www.fortiguard.com/psirt/FG-IR-23-183