Fortinetは米国時間2月8日、同社製品に搭載しているファームウェア「FortiOS」に存在する脆弱(ぜいじゃく)性と、これを修正するFortiOSのアップデートバージョンや影響を緩和する回避策について情報を公開した。脆弱性を悪用するサイバー攻撃が発生する可能性が高いとして、ユーザーに早急な対応を呼び掛けている。
同社によると、FortiOSには、境界外書き込みの脆弱性(CVE-2024-21762)が存在する。外部の認証されていない第三者がこの脆弱性を悪用して、細工したHTTPリクエストを送信し、任意のコードやコマンドを実行する恐れがある。共通脆弱性評価システム(CVSS) v3による評価は「9.6」(最大値10.0)で、緊急度を「高」に指定している。
| FortiOSのバージョン | 脆弱性の影響を受けるバージョン | 修正バージョン |
|---|---|---|
| FortiOS 7.6 | 影響なし | 提供なし |
| FortiOS 7.4 | 7.4.0~7.4.2 | 7.4.3およびそれ以上 | FortiOS 7.2 | 7.2.0~7.2.6 | 7.2.7およびそれ以上 | FortiOS 7.0 | 7.0.0~7.0.13 | 7.0.14およびそれ以上 | FortiOS 6.4 | 6.4.0~6.4.14 | 6.4.15およびそれ以上 | FortiOS 6.2 | 6.2.0~6.2.15 | 6.2.16およびそれ以上 | FortiOS 6.0 | 全バージョン | 修正済みバージョンに移行すること |
同社によれば、すぐに修正バージョンを適用できないなどの場合の回避策は、SSL VPN機能の無効化になる。ただし、ウェブモードの無効化は回避策にならないとしている。