FortiGateでは　ver.7.2.10、ver.7.4.5、ver.7.6.1にてCVE-2024-3596 で説明されている RADIUS の脆弱性について解決がされています。

・ファイアウォール認証
・FortiGate管理GUIの認証
・WiFi認証
については、環境内で使用されているRADIUSサーバソフトウェアの機能によっては影響を受ける可能性があります。
そのため、FortiGateをver.7.2.10、ver.7.4.5、ver.7.6.1へアップグレードを実施しますとRADIUS認証が失敗します。

※RFC3579には、影響を受けるRADIUS属性、message-authenticator に関する情報が含まれています。


■影響を受ける可能性のある製品

FortiGate、FortiWIFI


■影響を受ける可能性のあるバージョン

FortiGate、FortiWIFI
　ver.7.2.10 以降
　ver.7.4.5 以降
　ver.7.6.1 以降


■状況

CVE-2024-3596で説明されている RADIUSの脆弱性から保護するために、RADIUSクライアントであるFortiGateは次の操作を実行します。

1. message-authenticatorの検証を強制します。
2. 認識されないproxy-state属性を持つRADIUS応答を拒否します。

UDP/TCPではメッセージ認証子のチェックが必須になっていますが、TLSを使用する場合は必須ではありません。


■対策

RADIUSサーバ構成で RADSEC を使用する構成に変更します。
これはバージョン ver.7.4.0 以降でサポートされています。

・RADSECを利用していない場合
FortiGateがRADSEC無しでUDP/TCPモードを使用している場合は、RADIUSサーバにパッチを適用して、RADIUSメッセージでメッセージ認証子属性が使用されるようにする必要があります。

FortiAutheticatorはver.6.4.10、ver.6.6.2にて、 CVE-2024-3596への対策が取られています。
下位バージョンをご利用中の場合はアップグレードをご検討ください。

サードパーティの RADIUSサーバの推奨ソリューション/ファームウェアの詳細については、以下のナレッジを参照してください。

■Troubleshooting Tip: RADIUS authentication failure after the firmware upgrade to v7.2.10/v7.4.5
https://community.fortinet.com/t5/FortiGate/Troubleshooting-Tip-RADIUS-authentication-failure-after-the/ta-p/343112