米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は10月11日(米国時間)、「Fortinet Releases Security Updates for Multiple Products|CISA」において、Fortinetの複数製品に複数の脆弱性が存在すると伝えた。これら脆弱性が悪用されると、攻撃者により不正なコードが実行される危険性がある。

脆弱性に関する情報は次のページにまとまっている。

  • Fortinet Releases Security Updates for Multiple Products|CISA

    Fortinet Releases Security Updates for Multiple Products|CISA

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • FortiManager バージョン7.4.0
  • FortiManager バージョン7.2.0から7.2.3まで
  • FortiManager バージョン7.0.0から7.0.8まで
  • FortiManager バージョン6.4.0から6.4.12まで
  • FortiManager 6.2のすべてのバージョン
  • FortiManager 6.0のすべてのバージョン
  • FortiAnalyzer バージョン7.4.0
  • FortiAnalyzer バージョン7.2.0から7.2.3まで
  • FortiAnalyzer バージョン7.0.0から7.0.8まで
  • FortiAnalyzer バージョン6.4.0から6.4.12まで
  • FortiAnalyzer 6.2のすべてのバージョン
  • FortiAnalyzer 6.0のすべてのバージョン
  • FortiADC バージョン7.1.0
  • FortiADC バージョン7.0.0から7.0.3まで
  • FortiADC 6.2のすべてのバージョン
  • FortiADC 6.1のすべてのバージョン
  • FortiADC 6.0のすべてのバージョン
  • FortiOS バージョン7.2.0から7.2.4まで
  • FortiOS バージョン7.0.0から7.0.11まで
  • FortiSIEM バージョン7.0.0
  • FortiSIEM バージョン6.7.0から6.7.3まで
  • FortiSIEM バージョン6.6.0から6.6.3まで
  • FortiSIEM バージョン6.5.0から6.5.1まで
  • FortiSIEM バージョン6.4.0から6.4.2まで

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • FortiManager バージョン7.4.1およびそれ以降のバージョン
  • FortiManager バージョン7.2.4およびそれ以降のバージョン
  • FortiManager バージョン7.0.9およびそれ以降のバージョン
  • FortiManager バージョン6.4.13およびそれ以降のバージョン
  • FortiAnalyzer バージョン7.4.1およびそれ以降のバージョン
  • FortiAnalyzer バージョン7.2.4およびそれ以降のバージョン
  • FortiAnalyzer バージョン7.0.9およびそれ以降のバージョン
  • FortiAnalyzer バージョン6.4.13およびそれ以降のバージョン
  • FortiADC バージョン7.1.1およびそれ以降のバージョン
  • FortiADC バージョン7.0.4およびそれ以降のバージョン
  • FortiOS バージョン7.2.5およびそれ以降のバージョン
  • FortiOS バージョン7.0.12およびそれ以降のバージョン
  • FortiSIEM バージョン7.0.1およびそれ以降のバージョン
  • FortiSIEM バージョン6.7.4およびそれ以降のバージョン
  • FortiSIEM バージョン6.6.4およびそれ以降のバージョン
  • FortiSIEM バージョン6.5.2およびそれ以降のバージョン
  • FortiSIEM バージョン6.4.3およびそれ以降のバージョン

修正されたバージョンへ移行する必要があるとされるプロダクトおよびバージョンは次のとおり。

  • FortiManager 6.2のすべてのバージョン
  • FortiManager 6.0のすべてのバージョン
  • FortiAnalyzer 6.2のすべてのバージョン
  • FortiAnalyzer 6.0のすべてのバージョン
  • FortiADC 6.2のすべてのバージョン
  • FortiADC 6.1のすべてのバージョン
  • FortiADC 6.0のすべてのバージョン

CVE-2023-40714で追跡されるFortiSIEMの脆弱性は深刻度が緊急(Critical)とされており注意が必要。CISAは、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。