BSI は、Fortinet SSL VPN の重大な脆弱性を積極的に悪用することに対して警告しています。 FortiGate ファイアウォールで使用される FortiOS のサービスにより、攻撃者は悪意のあるコードやコマンドを実行できます。
BSI によると、FortiGate ファイアウォールを使用している企業は、できるだけ早くデバイスにパッチを適用する必要があります。 脆弱性は製造元によって決定されます 共通脆弱性スコアリング システム (CVSS) v3.1 全体的な CVSS スコアは 9.3 点中 10 点で、「重大」と評価されました。 この脆弱性に対して CVE-2022-42475 が割り当てられました。 Fortinet PSIRT (Product Security Incident Response Team) によると、SSL VPN サービスにはヒープベースのバッファ オーバーフローの脆弱性があります。
FortiGate ファイアウォール: 脆弱性の積極的な利用
Fortinet の PSIRT は、次の製品バージョンが脆弱性の影響を受けることを示しています。
- FortiOS-6K7K バージョン 7.0.0 – 7.0.7
- FortiOS-6K7K バージョン 6.4.0 – 6.4.9
- FortiOS-6K7K バージョン 6.2.0 – 6.2.11
- FortiOS-6K7K バージョン 6.0.0 – 6.0.14
- FortiOS バージョン 7.2.0 – 7.2.2
- FortiOS バージョン 7.0.0 – 7.0.8
- FortiOS バージョン 6.4.0 – 6.4.10
- FortiOS バージョン 6.2.0 – 6.2.11
製造元の Fortinet は、脆弱性の悪用に成功した XNUMX 件の事例がすでに確認されていることも発表しました。 そのため、パッチ対策を早急に実施することをお勧めします。 Fortinet は、Web サイトで既に適切なパッチの手順を提供しています。
- FortiOS バージョン 7.2.3 以降
- FortiOS バージョン 7.0.9 以降
- FortiOS バージョン 6.4.11 以降
- FortiOS バージョン 6.2.12 以降
- FortiOS-6K7K バージョン 7.0.8 以降
- FortiOS-6K7K バージョン 6.4.10 以降
- FortiOS-6K7K バージョン 6.2.12 以降
- FortiOS-6K7K バージョン 6.0.15 以降
連邦情報セキュリティ局 (BSI) について 連邦情報セキュリティ局 (BSI) は、連邦のサイバー セキュリティ機関であり、ドイツにおける安全なデジタル化の設計者です。 ミッション ステートメント: BSI は、連邦のサイバー セキュリティ機関として、州、企業、社会の防止、検出、および対応を通じて、デジタル化における情報セキュリティを設計します。