FortiGate製品の脆弱性[FG-IR-24-472]について

2025.05.14

Fortinet社の以下ページにて、掲題についての注意喚起がリリースされております。

https://www.fortiguard.com/psirt/FG-IR-24-472

リリース概要：
FortiOS、FortiProxy、FortiSwitchManagerのTACACS+認証機能には、重要な部分で認証が欠けてしまう脆弱性 [CWE-306] が確認されました。
この脆弱性により、認証に外部のTACACS+サーバーを使っており、そのサーバー自体が「ASCII認証」という特定の方法で設定されている場合、 既存の管理者アカウント名を知っている攻撃者は、正規の認証手順を踏まずに（認証を回避して）、管理者として機器に不正アクセスできてしまう可能性があります。
※この脆弱性は、ASCII 認証が使用される構成に限定されます。PAP、MSCHAP、および CHAP 構成は影響を受けません。

対象OS：
今回の該当のFortiOSバージョンは以下となります。
FortiOSバージョン 7.6.0
FortiOSバージョン 7.4.4-7.4.6

対応策:
以下のFortiOSバージョンへファームウェア更新を実行
FortiOS 7.6.1 以降にアップグレードする
FortiOS 7.4.7 以降にアップグレードする

ファームウェア更新作業は弊社側でのご対応(場合により有償)も可能です。
ご希望の際は、弊社サポートセンターまでご相談ください。

ファームウェア更新をお客様側で実施される場合は、必ずファームウェア更新後のコンフィグファイルを弊社に共有いただきますようお願いいたします。
共有いただけなかった場合、故障時の交換が、弊社が最終保存した古いOSバージョンおよび古い設定内容でのご対応となります。

※現在、本件に関して、多くのお問い合わせを頂いております。
電話窓口が混雑する可能性がありますので、お手数ですが、メールにてお問い合わせをお願い致します。

Emailアドレス：netsupport@startia.co.jp

対応まで少々お時間を頂く場合がございます。ご了承頂ければと存じます。