Bleeping Computerは3月8日(米国時間)、「Critical Fortinet flaw may impact 150,000 exposed devices」において、インターネットに公開されているFortinet製品のうち約15万台が既知の緊急の脆弱性「CVE-2024-21762」に対して脆弱なまま修正されていないと報じた。

この脆弱性は悪用されるとリモートの認証されていない攻撃者により任意のコードを実行される可能性がある。また、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)はすでに悪用が確認されているとして、脆弱性カタログ(KEV: Known Exploited Vulnerabilities Catalog)にこの脆弱性を登録している。

  • Critical Fortinet flaw may impact 150,000 exposed devices

脆弱性「CVE-2024-21762」の概要

この脆弱性は2024年2月8日(米国時間)にFortinetが発表したもので、ForiOSに影響があるとして管理者に対策が求められていた(参考:「Fortinet FortiOSに緊急の脆弱性、確認と対策を | TECH+(テックプラス)」)。その後、2月23日に対象製品が追加されており、影響を受ける製品は次の2製品、合計13バージョンとされる。

  • FortiOS 7.4.0から7.4.2までのバージョン
  • FortiOS 7.2.0から7.2.6までのバージョン
  • FortiOS 7.0.0から7.0.13までのバージョン
  • FortiOS 6.4.0から6.4.14までのバージョン
  • FortiOS 6.2.0から6.2.15までのバージョン
  • FortiOS 6.0.0から6.0.17までのバージョン
  • FortiProxy 7.4.0から7.4.2までのバージョン
  • FortiProxy 7.2.0から7.2.8までのバージョン
  • FortiProxy 7.0.0から7.0.14までのバージョン
  • FortiProxy 2.0.0から2.0.13までのバージョン
  • FortiProxy 1.2のすべてのバージョン
  • FortiProxy 1.1のすべてのバージョン
  • FortiProxy 1.0のすべてのバージョン

脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

  • FortiOS 7.4.3およびこれ以降のバージョン
  • FortiOS 7.2.7およびこれ以降のバージョン
  • FortiOS 7.0.14およびこれ以降のバージョン
  • FortiOS 6.4.15およびこれ以降のバージョン
  • FortiOS 6.2.16およびこれ以降のバージョン
  • FortiOS 6.0.18およびこれ以降のバージョン
  • FortiProxy 7.4.3およびこれ以降のバージョン
  • FortiProxy 7.2.9およびこれ以降のバージョン
  • FortiProxy 7.0.15およびこれ以降のバージョン
  • FortiProxy 2.0.14およびこれ以降のバージョン

FortiProxy 1.x系統は修正バージョンへのアップグレードが推奨されている。また、FortiOS 7.6系統はこの脆弱性の影響を受けないとされる。

脆弱性がもたらす影響と対策

Shadowserverによると、影響を受けるバージョンを実行しているデバイスは、2024年3月7日時点の合計で約15万台存在するという(脆弱性の回避策を実施しているデバイスを含む)。脆弱なデバイスが最も多く存在する国は米国の24,325台で、それに日本(11,209)、インド(7,538)、ブラジル(4,910)、フランス(4,346)が続く。

  • 002l.jpg

    脆弱性(CVE-2024-21762)を修正していないFortinet製品を検出した国別表示  引用:The Shadowserver Foundation

Fortinetは製品のアップデートを「docs.fortinet.com/upgrade-tool」に従い実施することを推奨している。また、アップデートを実施できない場合、回避策としてSSL VPNを無効にすることが望まれている。なお、Webモードを無効にすることは有効な回避策とはならない。