Fortinet 社より、FortiWeb 製品において「パス混同(Path Confusion)に起因する脆弱性」が報告されています。この脆弱性は、認証されていない攻撃者が細工した HTTP/HTTPS リクエストを送信することで、システム上で管理コマンドを実行できる可能性があります。
■概要
FortiWeb には相対パス・トラバーサルの脆弱性 [CWE-23] が存在し、認証されていない攻撃者が、細工された HTTPまたは HTTPS リクエストを介してシステム上で管理者コマンドを実行できる可能性があります。Fortinet 社は、この脆弱性が実際に悪用されていることを確認しています。
■影響バージョンと対応策
対象バージョン 影響を受けるバージョン 対策済みバージョン
FortiWeb 8.0 8.0.0 から 8.0.1 8.0.2 以上にアップグレード
FortiWeb 7.6 7.6.0 から 7.6.4 7.6.5 以上にアップグレードしてください
FortiWeb 7.4 7.4.0 から 7.4.9 7.4.10 以上にアップグレードしてください
FortiWeb 7.2 7.2.0 から 7.2.11 7.2.12 以上にアップグレードしてください
FortiWeb 7.0 7.0.0 から 7.0.11 7.0.12 以上にアップグレードしてください
■回避策
インターネットに面したインターフェースに対して HTTP または HTTPS の管理アクセスを無効化してください。
Fortinet 社は、本事象に対応済みの OS にバージョンアップするまで、HTTP または HTTPS の管理アクセス無効化を推奨しています。
これら管理アクセスが、内部 LAN からのみである場合、リスクは大幅に低減されます。また、Internet に面したインターフェースにトラストホストを設定する事でも、リスクの低減が期待できます。
■アップグレード後の確認
機器の設定内容を確認し、予期しない変更や不正な管理者アカウントの追加がないか、各種ログを確認して下さい。
■詳細情報
本件に関する詳細は、Fortinet 社の公式発表をご確認ください。
[Fortinet PSIRT Advisory FG-IR-25-910] https://fortiguard.fortinet.com/psirt/FG-IR-25-910
■お問い合わせについて
ご不明点がございましたら、以下までお問い合わせください。
※有効な契約のあるシリアル番号をご記載ください。
NVC カスタマーサポート nvc-tac@nvc.co.jp (弊社営業日 9:00~17:00