米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は12月12日(米国時間)、「Fortinet Releases Security Updates for FortiOS|CISA」においてフォーティネットのオペレーティングシステムであるFortiOSに脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性がある。

脆弱性に関する情報は次のページにまとまっている。

  • PSIRT Advisories|FortiGuard

    PSIRT Advisories | FortiGuard

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • FortiOS 7.2.2
  • FortiOS 7.2.1
  • FortiOS 7.2.0
  • FortiOS 7.0.8
  • FortiOS 7.0.7
  • FortiOS 7.0.6
  • FortiOS 7.0.5
  • FortiOS 7.0.4
  • FortiOS 7.0.3
  • FortiOS 7.0.2
  • FortiOS 7.0.1
  • FortiOS 7.0.0
  • FortiOS 6.4.9
  • FortiOS 6.4.8
  • FortiOS 6.4.7
  • FortiOS 6.4.6
  • FortiOS 6.4.5
  • FortiOS 6.4.4
  • FortiOS 6.4.3
  • FortiOS 6.4.2
  • FortiOS 6.4.10
  • FortiOS 6.4.1
  • FortiOS 6.4.0
  • FortiOS 6.2.9
  • FortiOS 6.2.8
  • FortiOS 6.2.7
  • FortiOS 6.2.6
  • FortiOS 6.2.5
  • FortiOS 6.2.4
  • FortiOS 6.2.3
  • FortiOS 6.2.2
  • FortiOS 6.2.11
  • FortiOS 6.2.10
  • FortiOS 6.2.1
  • FortiOS 6.2.0

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • FortiOS version 7.2.3およびこれ以降のバージョン
  • FortiOS version 7.0.9およびこれ以降のバージョン
  • FortiOS version 6.4.11およびこれ以降のバージョン
  • FortiOS version 6.2.12およびこれ以降のバージョン
  • FortiOS-6K7K version 7.0.8およびこれ以降のバージョン
  • FortiOS-6K7K version 6.4.10およびこれ以降のバージョン
  • FortiOS-6K7K version 6.2.12およびこれ以降のバージョン
  • FortiOS-6K7K version 6.0.15およびこれ以降のバージョン

脆弱性は深刻度が緊急(Critical)に分類されている。CISAは、この脆弱性を悪用したサイバー攻撃が行われていることを確認しており注意が必要。上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することが推奨されている。