セキュリティブログ

更新:FortiOS SSL-VPN の脆弱性対策について(CVE-2022-42475)

2022.12.23

Fortiさんの脆弱性対策について、以下に記しておきます。

※更新:FortiOS SSL-VPN の脆弱性対策について(CVE-2022-42475)/IPA/2022年12月22日

※以下引用

概要

FortiOS SSL-VPN は、リモートアクセスを実現するための VPN 製品です。

この FortiOS SSL-VPN において、ヒープベースのバッファオーバーフローの脆弱性が確認されています。

本脆弱性が悪用されると、認証されていない遠隔の第三者によって細工したリクエストを送信され、任意のコードやコマンドを実行される可能性があります。

本脆弱性を悪用した攻撃が確認されており、今後被害が拡大するおそれがあるため、早急にアップデートを実施してください。

影響を受けるシステム

  • FortiOS バージョン 7.2.0 から 7.2.2 まで
  • FortiOS バージョン 7.0.0 から 7.0.8 まで
  • FortiOS バージョン 6.4.0 から 6.4.10 まで
  • FortiOS バージョン 6.2.0 から 6.2.11 まで
  • FortiOS-6K7K バージョン 7.0.0 から 7.0.7 まで
  • FortiOS-6K7K バージョン 6.4.0 から 6.4.9 まで
  • FortiOS-6K7K バージョン 6.2.0 から 6.2.11 まで
  • FortiOS-6K7K バージョン 6.0.0 から 6.0.14 まで

—2022 年 12 月 14 日 更新—

  • FortiOS バージョン 6.0.0 から 6.0.15 まで
  • FortiOS バージョン 5.6.0 から 5.6.14 まで
  • FortiOS バージョン 5.4.0 から 5.4.13 まで
  • FortiOS バージョン 5.2.0 から 5.2.15 まで
  • FortiOS バージョン 5.0.0 から 5.0.14 まで

対策

1.脆弱性の解消 – アップデートを実施

開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。

  • FortiOS バージョン 7.2.3 あるいはそれ以降
  • FortiOS バージョン 7.0.9 あるいはそれ以降
  • FortiOS バージョン 6.4.11 あるいはそれ以降
  • FortiOS バージョン 6.2.12 あるいはそれ以降
  • FortiOS-6K7K バージョン 7.0.8 あるいはそれ以降
  • FortiOS-6K7K バージョン 6.4.10 あるいはそれ以降
  • FortiOS-6K7K バージョン 6.2.12 あるいはそれ以降
  • FortiOS-6K7K バージョン 6.0.15 あるいはそれ以降

—2022 年 12 月 22 日 更新—

  • FortiOS バージョン 6.0.16 あるいはそれ以降

—2022 年 12 月 14 日 更新—

2.脆弱性の暫定的な回避策

製品開発者によると次の回避策を適用することで、本脆弱性の影響を軽減できるとのことです。

  • SSL-VPN を無効にする

3.推奨対応

製品開発者は当該製品に対し、脆弱性を悪用する攻撃の被害を受けていないか確認するため、以下の調査を実施することを推奨しています。

  • 機器ログに脆弱性の悪用を示すログが記録されていないか
  • 機器に不審なファイルが設置されていないか
  • 機器から不審な通信先への通信が発生していないか

詳しくは、開発者が提供する下記サイトの情報をご確認ください。
FortiOS – heap-based buffer overflow in sslvpnd別ウィンドウで開く—2022 年 12 月 22 日 更新—

Technical Tip: [Critical vulnerability] Protect against heap-based buffer overflow in sslvpnd別ウィンドウで開く

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンターE-mail:

※個別のシステムおよび環境に関するご質問を頂いても回答ができない場合があります。詳しくは製品ベンダなどにお問合せください。

※ここまで

以上、よろしくご対応のほど、お願い申し上げます。