Fortigate SSL-VPN・fgfmd脆弱性(CVE-2024-21762)(CVE-2024-23113)

こんにちは。ネットワークソリューション特集 編集部です。
今回は、Fortigate SSL-VPN・fgfmdの脆弱性(CVE-2024-21762)(CVE-2024-23113)についてご紹介します。

脆弱性

[CVE-2024-21762]

FortiOSでSSL-VPN機能における境域外書き込みに脆弱性があり細工されたパケットを介して任意のコードまたはコマンドを実行する可能性があります。

Severity:Critical

CVSSv3:9.6

対象のバージョンは下記となります。

  • FortiOS バージョン 7.4.0 – 7.4.2
  • FortiOS バージョン 7.2.0 – 7.2.6
  • FortiOS バージョン 7.0.0 – 7.0.13
  • FortiOS バージョン 6.4.0 – 6.4.14
  • FortiOS バージョン 6.2.0 – 6.2.15
  • FortiOS バージョン 6.0 全てのバージョン

FortiOS7.6は影響をうけません。

[CVE-2024-23113]

FortiOSでfgfmdデーモンに脆弱性があり、細工されたリクエストにより、リモート未認証の攻撃者が任意のコードまたはコマンドを実行する可能性があります。

Severity:Critical

CVSSv3:9.8

対象のバージョンは下記となります。

  • FortiOS バージョン 7.4.0 – 7.4.2
  • FortiOS バージョン 7.2.0 – 7.2.6
  • FortiOS バージョン 7.0.0 – 7.0.13

FortiOS6.Xは影響をうけません。

修正バージョン

[CVE-2024-21762]

下記のバージョンにアップデートをお願いします。

  • FortiOS バージョン 7.4.3 以降
  • FortiOS バージョン 7.2.7 以降
  • FortiOS バージョン 7.0.14 以降
  • FortiOS バージョン 6.4.15 以降
  • FortiOS バージョン 6.2.16 以降

回避策はSSL-VPN無効化となります。

また、FortiOS6.0を利用の場合は上記バージョンのいずれかにアップデートを行う必要があります。

[CVE-2024-23113]

下記のバージョンにアップデートをお願いします。

  • FortiOS バージョン 7.4.3 以降
  • FortiOS バージョン 7.2.7 以降
  • FortiOS バージョン 7.0.14 以降

回避策は、以下のようにfgfmへのアクセスを無効化します。

本設定は、FortiManagerからのFortigateディスカバリ処理に影響します。
※Fortegateからの接続は動作します。

なお、特定IPからのfmfmd接続を許可するポリシーは緩和策となりますが、脆弱性の根本解決とはならない点もメーカから注意事項として公開されていますのでご注意ください。

config system interface
edit “portX”
set allowaccess ping https ssh fgfm
next
end

config system interface
edit “portX”
set allowaccess ping https ssh
next
end

まとめ

  • クリティカルのSSL-VPN・fgfmd脆弱性
  • 回避策は存在しているが、早急なアップデートを推奨

今回はFortigate SSL-VPN・fgfmdの脆弱性(CVE-2024-21762)(CVE-2024-23113)についてご紹介しました。