Fortinet製品に関するお知らせ
25.02.12
CVE-2024-35279の影響について
- FortiGate
【CVE番号】
CVE-2024-35279
【重要度】
High
【対象製品/バージョン】
FortiGate, FortiWiFi
ver.7.4.0 ~ 7.4.4
ver.7.2.4 ~ 7.2.8
ver.7.6.x、7.0.x、6.4.xは影響ありません。
FortiSASEはver.24.2.b.2にて修正されております。
【影響】
FortiOSのCAPWAPコントロールのスタックベースのバッファ オーバーフローの脆弱性により、攻撃者が
FortiOSのスタック保護を回避でき、ファブリックサービスが公開されたインターフェイスで実行されている
場合、リモートの認証されていない攻撃者が細工された UDPパケットを介して任意のコードまたはコマンドを
実行できる可能性があります。
【対策】
以下のバージョンへのアップグレードを実施してください。
FortiGate, FortiWiFi
ver.7.4.5 以降
ver.7.2.9 以降
以下のツールを使用して、推奨されるアップグレード パスに従ってください。
https://docs.fortinet.com/upgrade-tool
■ワークアラウンド
1~3のいずれかを実施ください。
1.各インターフェースでファブリックサービスを削除します。
現状設定例
config system interface
edit "portX"
set allowaccess ping https ssh fabric
next
end
↓
以下のように変更します。
config system interface
edit "portX"
set allowaccess ping https ssh
next
end
fabricの設定を除外します。
2.「ファブリック」サービスを持つ各インターフェースについて、local-in policyを通じて
ポート5246へのCAPWAP-CONTROLアクセスをブロックします。
設定例
config firewall service custom
edit "CAPWAP-CONTROL"
set udp-portrange 5246
next
end
config firewall addrgrp
edit "CAPWAP_DEVICES_IPs"
set member "my_allowed_addresses"
end
config firewall local-in-policy
edit 1
set intf "port1"
set srcaddr "CAPWAP_DEVICES_IPs"
set dstaddr "all"
set service "CAPWAP-CONTROL"
set schedule "always"
set action deny
next
end
3.「ファブリック」サービスを持つ各インターフェイスに対して、FMWP (ファームウェア仮想パッチ)
dbアップデート24.054で利用可能な仮想パッチ FG-VD-10006068.0dayをlocal-in policyを
通じてポート5246に適用します。
https://docs.fortinet.com/document/fortigate/7.4.4/administration-guide/393161
設定例
1)仮想パッチデータベース内でルールが利用可能であることを確認します。
# get rule fmwp status
rule-name: "FG-VD-10006068.0day"
rule-id: 10006068
rev: 24.054
date: 1716998400
action: block
status: enable
log: disable
log-packet: disable
severity: 4.critical
service: UDP
location: server
os: All
application: All
rate-count: 0
rate-duration: 0
rate-track: none
rate-mode: continuous
vuln_type: Buffer Errors
fos_comp: Other
2)「ファブリック」サービスが有効になっている各インターフェイスに対してlocal-in policyを設定します。
config firewall service custom
edit "CAPWAP-CONTROL"
set udp-portrange 5246
next
end
config firewall local-in-policy
edit 1
set intf "port1"
set srcaddr "all"
set dstaddr "all"
set service "CAPWAP-CONTROL"
set schedule "always"
set action accept
set virtual-patch enable
next
end
「FG-VD-10006068.0day」という仮想パッチが FMWP dbアップデート24.054で利用可能になりました。
本内容は2025年2月12日9:00時点の内容です。最新の情報は以下のリンク先にてご確認ください。
■Stack buffer overflow in fabric service
https://www.fortiguard.com/psirt/FG-IR-24-160
CVE-2024-35279
【重要度】
High
【対象製品/バージョン】
FortiGate, FortiWiFi
ver.7.4.0 ~ 7.4.4
ver.7.2.4 ~ 7.2.8
ver.7.6.x、7.0.x、6.4.xは影響ありません。
FortiSASEはver.24.2.b.2にて修正されております。
【影響】
FortiOSのCAPWAPコントロールのスタックベースのバッファ オーバーフローの脆弱性により、攻撃者が
FortiOSのスタック保護を回避でき、ファブリックサービスが公開されたインターフェイスで実行されている
場合、リモートの認証されていない攻撃者が細工された UDPパケットを介して任意のコードまたはコマンドを
実行できる可能性があります。
【対策】
以下のバージョンへのアップグレードを実施してください。
FortiGate, FortiWiFi
ver.7.4.5 以降
ver.7.2.9 以降
以下のツールを使用して、推奨されるアップグレード パスに従ってください。
https://docs.fortinet.com/upgrade-tool
■ワークアラウンド
1~3のいずれかを実施ください。
1.各インターフェースでファブリックサービスを削除します。
現状設定例
config system interface
edit "portX"
set allowaccess ping https ssh fabric
next
end
↓
以下のように変更します。
config system interface
edit "portX"
set allowaccess ping https ssh
next
end
fabricの設定を除外します。
2.「ファブリック」サービスを持つ各インターフェースについて、local-in policyを通じて
ポート5246へのCAPWAP-CONTROLアクセスをブロックします。
設定例
config firewall service custom
edit "CAPWAP-CONTROL"
set udp-portrange 5246
next
end
config firewall addrgrp
edit "CAPWAP_DEVICES_IPs"
set member "my_allowed_addresses"
end
config firewall local-in-policy
edit 1
set intf "port1"
set srcaddr "CAPWAP_DEVICES_IPs"
set dstaddr "all"
set service "CAPWAP-CONTROL"
set schedule "always"
set action deny
next
end
3.「ファブリック」サービスを持つ各インターフェイスに対して、FMWP (ファームウェア仮想パッチ)
dbアップデート24.054で利用可能な仮想パッチ FG-VD-10006068.0dayをlocal-in policyを
通じてポート5246に適用します。
https://docs.fortinet.com/document/fortigate/7.4.4/administration-guide/393161
設定例
1)仮想パッチデータベース内でルールが利用可能であることを確認します。
# get rule fmwp status
rule-name: "FG-VD-10006068.0day"
rule-id: 10006068
rev: 24.054
date: 1716998400
action: block
status: enable
log: disable
log-packet: disable
severity: 4.critical
service: UDP
location: server
os: All
application: All
rate-count: 0
rate-duration: 0
rate-track: none
rate-mode: continuous
vuln_type: Buffer Errors
fos_comp: Other
2)「ファブリック」サービスが有効になっている各インターフェイスに対してlocal-in policyを設定します。
config firewall service custom
edit "CAPWAP-CONTROL"
set udp-portrange 5246
next
end
config firewall local-in-policy
edit 1
set intf "port1"
set srcaddr "all"
set dstaddr "all"
set service "CAPWAP-CONTROL"
set schedule "always"
set action accept
set virtual-patch enable
next
end
「FG-VD-10006068.0day」という仮想パッチが FMWP dbアップデート24.054で利用可能になりました。
本内容は2025年2月12日9:00時点の内容です。最新の情報は以下のリンク先にてご確認ください。
■Stack buffer overflow in fabric service
https://www.fortiguard.com/psirt/FG-IR-24-160
©Copyright Zuken NetWave Inc. All right reserved.
