日頃より弊社サービスをご利用いただき誠にありがとうございます。
Fortinet社より、複数の脆弱性問題が発表されております。
本脆弱性の影響を受けるバージョンをご利用のお客様については、
以下の対策へのご対応をお願いいたします。
対策への手順やご不明な点等のお問い合わせは、担当エンジニア、営業または、
弊社サポート窓口までご連絡をお願いいたします。
【CVE-2024-46668】
■概要
一部の FortiOS API エンドポイントで制限のないリソースの割り当てやスロットリングの脆弱性 [CWE-770] により、認証されていないリモートユーザーが複数の大きなファイルをアップロードしてすべてのシステムメモリを消費する可能性があります。
■影響
サービス拒否
■対象バージョン・機器
Fortigateをご導入のお客様にて、以下のFortiOSバージョンの場合に限定されます。
FortiOSバージョン 7.4.0-7.4.4
FortiOSバージョン 7.2.0-7.2.8
FortiOSバージョン 7.0.0-7.0.15
FortiOSバージョン 6.4.0-6.4.15
■恒久の対処方法
FortiOS 7.4.5以上にアップグレード
FortiOS 7.2.9以上にアップグレード
FortiOS 7.0.16以上にアップグレード
FortiOS 6.4.16以上にアップグレード
また、脆弱性に関しての詳細につてきましては、以下のメーカサイトよりご確認をお願いいたします。
■Fortinet FortiGuard Labs
https://www.fortiguard.com/psirt/FG-IR-24-219
【CVE-2024-46670】
■概要
FortiOS および FortiSASE FortiOS テナントの IPsec IKE サービスに領域外読み取りの脆弱性 [CWE-125] があるため、認証されていないリモートの攻撃者がメモリ消費を引き起こし、細工されたリクエストを通じてサービス拒否を引き起こす可能性があります。
■影響
サービス拒否
■対象バージョン・機器
Fortigateをご導入のお客様にて、以下のFortiOSバージョンの場合に限定されます。
FortiOSバージョン 7.6.0
FortiOSバージョン 7.4.0-7.4.4
FortiOSバージョン 7.2.0-7.2.9
■恒久の対処方法
FortiOS 7.6.1以上にアップグレード
FortiOS 7.4.5以上にアップグレード
FortiOS 7.2.10以上にアップグレード
また、脆弱性に関しての詳細につてきましては、以下のメーカサイトよりご確認をお願いいたします。
■Fortinet FortiGuard Labs
https://www.fortiguard.com/psirt/FG-IR-24-266
【CVE-2024-48884、CVE-2024-48885】
■概要
FortiManager、FortiOS、FortiProxy、FortiRecorder、FortiVoice、FortiWeb の制限付きディレクトリの脆弱性 ('パストラバーサル') [CWE-22] により、セキュリティファブリックのインターフェースとポートにアクセスできるリモートの認証された攻撃者が任意のファイルを書き込んだり、同じネットワークアクセスを持つリモートの認証されていない攻撃者が任意のフォルダを削除したりする可能性があります。
■影響
特権の昇格
■対象バージョン・機器
Fortigateをご導入のお客様にて、以下のFortiOSバージョンの場合に限定されます。
FortiOSバージョン 7.6.0
FortiOSバージョン 7.4.0-7.4.4
FortiOSバージョン 7.2.0-7.2.9
FortiOSバージョン 7.0.0-7.0.15
FortiOSバージョン 6.4すべてのバージョン
■恒久の対処方法
FortiOS 7.6.1以上にアップグレード
FortiOS 7.4.5以上にアップグレード
FortiOS 7.2.10以上にアップグレード
FortiOS 7.0.16以上にアップグレード
また、脆弱性に関しての詳細につてきましては、以下のメーカサイトよりご確認をお願いいたします。
■Fortinet FortiGuard Labs
https://www.fortiguard.com/psirt/FG-IR-24-259