【CVE番号】
　CVE-2024-35277


【重要度】
　High


【対象製品/バージョン】
　FortiManager
　　ver.7.4.0 ～ 7.4.2
　　ver.7.2.0 ～ 7.2.5
　　ver.7.0.0 ～ 7.0.12
　　ver.6.4.0 ～ 6.4.14

　FortiManager Cloud
　　ver.7.4.0 ～ 7.4.2
　　ver.7.2.1 ～ 7.2.5
　　ver.7.0.1 ～ 7.0.12

【影響】
　FortiManagerとFortiPortalの重大な機能脆弱性の認証が欠落しているため、認証されていないリモートの
　攻撃者がすべての管理対象デバイスの構成を抽出できる可能性があります。


　管理対象のFortiGateで次の設定が行われていない限り、LDAP資格情報、管理者資格情報、およびユーザー
　資格情報は回復できません。

　　config system global
　　　set private-data-encryption enable
　　end

　保存された構成のすべてのリビジョンに対してこの設定が設定されていない場合、攻撃者がリビジョン時に
　設定された資格情報を回復できる可能性があることに注意してください。


【対策】
　以下のバージョンへのアップグレードを実施してください。

　FortiManager
　　ver.7.4.3 以降
　　ver.7.2.6 以降
　　ver.7.0.13 以降
　　ver.6.4.15 以降

　FortiManager Cloud
　　ver.7.4.3 以降
　　ver.7.2.7 以降
　　ver.7.0.13 以降

　ワークアラウンド
　trusthost 機能を使用して、管理インターフェイスへのアクセスを特定のIPアドレスに制限することを
　お勧めします。
　　例）
　　config system admin user
　　　edit "admin"
　　　　set trusthost1 x.x.x.x 255.255.255.255
　　　next
　　end


本内容は2025年1月15日8:00時点の内容です。最新の情報は以下のリンク先にてご確認ください。
■Missing authentication for managed device configuration files
https://www.fortiguard.com/psirt/FG-IR-24-135