Bleeping Computerは3月8日(米国時間)、「Critical Fortinet flaw may impact 150,000 exposed devices」において、インターネットに公開されているFortinet製品のうち約15万台が既知の緊急の脆弱性「CVE-2024-21762」に対して脆弱なまま修正されていないと報じた。
この脆弱性は悪用されるとリモートの認証されていない攻撃者により任意のコードを実行される可能性がある。また、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)はすでに悪用が確認されているとして、脆弱性カタログ(KEV: Known Exploited Vulnerabilities Catalog)にこの脆弱性を登録している。
脆弱性「CVE-2024-21762」の概要
この脆弱性は2024年2月8日(米国時間)にFortinetが発表したもので、ForiOSに影響があるとして管理者に対策が求められていた(参考:「Fortinet FortiOSに緊急の脆弱性、確認と対策を | TECH+(テックプラス)」)。その後、2月23日に対象製品が追加されており、影響を受ける製品は次の2製品、合計13バージョンとされる。
- FortiOS 7.4.0から7.4.2までのバージョン
- FortiOS 7.2.0から7.2.6までのバージョン
- FortiOS 7.0.0から7.0.13までのバージョン
- FortiOS 6.4.0から6.4.14までのバージョン
- FortiOS 6.2.0から6.2.15までのバージョン
- FortiOS 6.0.0から6.0.17までのバージョン
- FortiProxy 7.4.0から7.4.2までのバージョン
- FortiProxy 7.2.0から7.2.8までのバージョン
- FortiProxy 7.0.0から7.0.14までのバージョン
- FortiProxy 2.0.0から2.0.13までのバージョン
- FortiProxy 1.2のすべてのバージョン
- FortiProxy 1.1のすべてのバージョン
- FortiProxy 1.0のすべてのバージョン
脆弱性が修正された製品
脆弱性が修正された製品およびバージョンは次のとおり。
- FortiOS 7.4.3およびこれ以降のバージョン
- FortiOS 7.2.7およびこれ以降のバージョン
- FortiOS 7.0.14およびこれ以降のバージョン
- FortiOS 6.4.15およびこれ以降のバージョン
- FortiOS 6.2.16およびこれ以降のバージョン
- FortiOS 6.0.18およびこれ以降のバージョン
- FortiProxy 7.4.3およびこれ以降のバージョン
- FortiProxy 7.2.9およびこれ以降のバージョン
- FortiProxy 7.0.15およびこれ以降のバージョン
- FortiProxy 2.0.14およびこれ以降のバージョン
FortiProxy 1.x系統は修正バージョンへのアップグレードが推奨されている。また、FortiOS 7.6系統はこの脆弱性の影響を受けないとされる。
脆弱性がもたらす影響と対策
Shadowserverによると、影響を受けるバージョンを実行しているデバイスは、2024年3月7日時点の合計で約15万台存在するという(脆弱性の回避策を実施しているデバイスを含む)。脆弱なデバイスが最も多く存在する国は米国の24,325台で、それに日本(11,209)、インド(7,538)、ブラジル(4,910)、フランス(4,346)が続く。
Fortinetは製品のアップデートを「docs.fortinet.com/upgrade-tool」に従い実施することを推奨している。また、アップデートを実施できない場合、回避策としてSSL VPNを無効にすることが望まれている。なお、Webモードを無効にすることは有効な回避策とはならない。