【FortiGate】 FortiOSの脆弱性(CVE-2024-35279、CVE-2024-40591)について

連絡
お知らせ管理番号:
0000005161
公開日:
2025年2月13日

日頃より弊社サービスをご利用いただき誠にありがとうございます。

Fortinet社より、複数の脆弱性問題が発表されております。

本脆弱性の影響を受けるバージョンをご利用のお客様については、
以下の対策へのご対応をお願いいたします。

対策への手順やご不明な点等のお問い合わせは、担当エンジニア、営業または、
弊社サポート窓口までご連絡をお願いいたします。


【CVE-2024-35279 / CVSS7.7】

■概要
FortiOS CAPWAP制御のスタックベースのバッファオーバーフロー[CWE-121]の脆弱性により、認証されていないリモートの攻撃者が、FortiOS のスタック保護を回避でき、公開されたインターフェイスでファブリックサービスが実行されている場合、細工された UDP パケットを介して任意のコードまたはコマンドを実行する可能性があります。

■影響
不正なコードやコマンドの実行

■対象バージョン・機器
Fortigateをご導入のお客様にて、以下のFortiOSバージョンの場合に限定されます。

FortiOSバージョン 7.4.0-7.4.4
FortiOSバージョン 7.2.4-7.2.8

■恒久の対処方法
修正済みバージョンへのバージョンアップを実施お願いいたします。

FortiOS 7.4.5以上にアップグレード
FortiOS 7.2.9以上にアップグレード

また、脆弱性に関しての詳細につてきましては、以下のメーカサイトよりご確認をお願いいたします。

■Fortinet FortiGuard Labs
https://www.fortiguard.com/psirt/FG-IR-24-160

 

【CVE-2024-40591 / CVSS8.0】

■概要
FortiOS セキュリティファブリックに不適切な権限割り当ての脆弱性 [CWE-266] があるため、セキュリティファブリックの権限を持つアクセスプロファイルを持つ認証された管理者が、標的となる FortiGate を自分が制御する悪意のあるアップストリームの FortiGate に接続することで、特権をスーパー管理者に昇格できる可能性があります。

■影響
特権の昇格

■対象バージョン・機器
Fortigateをご導入のお客様にて、以下のFortiOSバージョンの場合に限定されます。

FortiOSバージョン 7.6.0
FortiOSバージョン 7.4.0-7.4.4
FortiOSバージョン 7.2.0-7.2.9
FortiOSバージョン 7.0.0-7.0.15
FortiOSバージョン 6.4すべてのバージョン

■恒久の対処方法
修正済みバージョンへのバージョンアップを実施お願いいたします。

FortiOS 7.6.1以上にアップグレード
FortiOS 7.4.5以上にアップグレード
FortiOS 7.2.10以上にアップグレード
FortiOS 7.0.16以上にアップグレード

また、脆弱性に関しての詳細につてきましては、以下のメーカサイトよりご確認をお願いいたします。

■Fortinet FortiGuard Labs
https://www.fortiguard.com/psirt/FG-IR-24-302