FortiGateをご利用のお客様へお知らせがございます。

2022/12/14(水)に公表されましたFortiGateの致命的な脆弱性(CVE-2022-42475)につきまして、
Fortinet社よりアップデートがございましたのでお知らせいたします。
本脆弱性はFortiGateにおけるSSLVPN機能を悪用し、任意のコードやコマンドを実施し、
認証情報の窃取などを行われる可能性がございます。対処OSへの早急なアップグレードをお願いいたします。

■影響を受けるFortiOSバージョン
・FortiOS バージョン 7.2.0 から 7.2.2
・FortiOS バージョン 7.0.0 から 7.0.8
・FortiOS バージョン 6.4.0 から 6.4.10
・FortiOS バージョン 6.2.0 から 6.2.11
・FortiOS バージョン 6.0.0 から 6.0.15
・FortiOS バージョン 5.6.0 から 5.6.14
・FortiOS バージョン 5.4.0 から 5.4.13
・FortiOS バージョン 5.2.0 から 5.2.15
・FortiOS バージョン 5.0.0 から 5.0.14

FortiGateにおいて、上記のOSバージョンをご利用中かつSSLVPN機能を利用されているお客様は本脆弱性の対象となります。
SSLVPN機能をご利用頂いていない場合、対象となりません。意図的に設定していない場合、SSLVPN機能は無効となっています。

CLIにて確認される場合は、
config vpn ssl settings
show
で確認が行えます。表示される項目で、「set source-interface "<port番号>"」
に設定されている値がインターネット側のインタフェースではない、もしくは空白になっている事を確認します。

本脆弱性の恒久対策は、不具合解消OSへのアップグレードとなります。

■解消OSバージョン
・FortiOS バージョン 7.2.3 以降
・FortiOS バージョン 7.0.9 以降
・FortiOS バージョン 6.4.11 以降
・FortiOS バージョン 6.2.12 以降
・FortiOS バージョン 6.0.16 以降
・FortiOS-6K7K バージョン 7.0.8 以降
・FortiOS-6K7K バージョン 6.4.10 以降
・FortiOS-6K7K バージョン 6.2.12 以降
・FortiOS-6K7K バージョン 6.0.15 以降

■関連リンク
・CVE-2022-42475 に関する詳細 [FortiGuard Labs PSIRT Advisory]
https://www.fortiguard.com/psirt/FG-IR-22-398

・FortiOSにおけるsslvpndプロセスの脆弱性によるヒープ領域のバッファオーバーフローに関する情報についてのご報告(2022/12/14)
https://gold.nvc.co.jp/fortinet/OS/bug/ftn20221214.html