SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

【注意喚起】FortiGate SSL-VPNの脆弱性について

セキュリティ
2021.09.13


みなさま、こんにちわ

今回は、FortiGate SSL-VPN機能に存在している脆弱性についての注意喚起になります。

"FortiGate SSL-VPN機能の脆弱性で発生している情報漏えいについて対処方法を教えてください"など
お客様からもお問い合わせいただいており、個別にご案内させていただきましたが改めてこちらのブログに掲載いたします。



■脆弱性について

FortiGate SSL-VPN脆弱性については以下のメーカーブログ内に詳細がございます。
今回話題となっている脆弱性(CVE-2018-13379)においては、SSL-VPNに利用するWebポータルに存在する脆弱性によって87,000台ものFortiGateからSSL-VPNのアクセス情報が漏えいしたというのが要約になります。

Link:悪意のあるアクターがFortiGate SSL-VPNの認証情報を公開
https://www.fortinet.com/jp/blog/psirt-blogs/malicious-actor-discloses-fortigate-ssl-vpn-credentials

Link:パッチと脆弱性の管理
https://www.fortinet.com/jp/blog/psirt-blogs/patch-vulnerability-management

Link:FG-IR-18-384 / CVE-2018-13379
https://www.fortiguard.com/psirt/FG-IR-18-384

■影響を受ける製品

以下のバージョンのOSをご利用中のお客様が対象となります。
FortiOSv6.2、v6.4、v7.0に関しては影響を受けません。

FortiOS 6.0 - 6.0.0 から 6.0.4

FortiOS 5.6 - 5.6.3 から 5.6.7

FortiOS 5.4 - 5.4.6 から 5.4.12

※SSL VPNサービス(Webモードまたはトンネルモード)が有効になっている場合のみ

■解決策

以下が解決策となりますが、重要なのは推奨とされるOSへアップグレードをするだけでなく、ユーザーのパスワードリセットを実施することす。アクセス情報が漏えいしたと考え以前までのパスワードを使わないことで悪用を防ぐことができます。

  1. 2~5の改善策が実施されるまで、すべてのVPN(SSL-VPNまたはIPSEC)を無効にする
  2. 以下を参考に、直ちに利用可能な最新のリリースにアップグレードする
  3. 侵害の可能性を考え、すべての認証情報で組織全体でパスワードリセットを行う
  4. 多要素認証を導入し長期的に漏えいした認証情報の悪用を防止する
  5. パスワードリセットの理由をユーザーに通知し、流出した個人情報を確認できるHIBPのようなサービスを定期的に確認する。パスワードが他のアカウントで再利用されている場合、 別の攻撃に流用される可能性があるため



■推奨されるアップグレード

FortiOS 5.4.13、5.6.14、6.0.11、または6.2.8以上

アップグレードしてください。




昨今の環境からSSL-VPNを利用されているお客様も多く話題となるニュースでしたので、注意喚起の文面を記載いたしました。メーカーからも注意喚起が盛んにされておりますが、こちらのブログが参考になりましたら幸いです。
ここまで読んでくださり、ありがとうございました。

著者紹介

SB C&S株式会社
技術統括部 第2技術部 2課
秋池 幹直