日頃より弊社をご愛顧いただき誠にありがとうございます。
Fortinet 社より、FortiOS 及び FortiProxy に関する脆弱性(CVE-2023-33308)が公表されました。
これらの製品において、スタックベースのバッファオーバーフローの脆弱性が確認されています。
本脆弱性の影響を受けるバージョンをご利用のお客様については、以下の対策へのご対応をお願いいたします。
■概要
FortiOSおよびFortiProxyのスタックベースのオーバーフローの脆弱性[CWE-124]により、リモート攻撃者はSSLディープインスペクションと併せてプロキシモードが使用されている際に、プロキシポリシーまたはファイアウォールポリシーに細工したパケットを到達させることで、任意のコードまたはコマンドを実行する可能性があります。
■対象
FortiOSバージョン 7.2.0-7.2.3
FortiOSバージョン 7.0.0-7.0.10
FortiProxyバージョン 7.2.0-7.2.2
FortiProxyバージョン 7.0.0-7.0.9
▽以下のバージョンは対象外
FortiOSバージョン 6.4系すべて
FortiOSバージョン 6.2系すべて
FortiOSバージョン 6.0系すべて
FortiProxyバージョン 2.xすべて
FortiProxyバージョン 1.xすべて
■対策
1.暫定的な回避策
プロキシポリシーまたはプロキシモードのファイアウォールポリシーによって使用される
SSL検査プロファイルでのHTTP/2サポートを無効にします。
設定例)
custom-deep-inspectionプロファイルに対するコマンド実行例
config firewall ssl-ssh-profile
edit “custom-deep-inspection”
set supported-alpn http1-1
next
end
2.恒久的な回避策
FortiOS 7.4.0以上にアップグレード
FortiOS 7.2.4以上にアップグレード
FortiOS 7.0.11以上にアップグレード
FortiProxy 7.2.3以上にアップグレード
FortiProxy 7.0.10以上にアップグレード
脆弱性に関しての詳細につてきましては、以下のメーカサイトよりご確認をお願いいたします。
■Fortinet社 注意喚起
https://www.fortiguard.com/psirt/FG-IR-23-183
対策への手順やご不明点等のお問い合わせは、弊社担当営業、SEまでご連絡をお願いいたします。