Fortigate SSLVPN 無効化

Fortigate SSLVPN 無効化

Fortigateの脆弱性が発表されるたびにエンジニアの
皆様は胸が詰まる思いをされていると思います。
本当に悪質な攻撃方法や数が増えましたよね。
最近だとランサムウェアが多いでしょうか。

今回お客様から問い合わせを受けたのは以下の脆弱性。
SSL-VPNもよく利用する機能なので心配ですね。

FortiOSのヒープベースのバッファーオーバーフローの
脆弱性（CVE-2022-42475）に関する注意喚起

対象バージョンは以下になります
FortiOS 7.2.0 〜 7.2.2
FortiOS 7.0.0 〜 7.0.8
FortiOS 6.4.0 〜 6.4.10
FortiOS 6.2.0 〜 6.2.11
FortiOS 6.0.0 〜 6.0.15
FortiOS 5.6.0 〜 5.6.14
FortiOS 5.4.0 〜 5.4.13
FortiOS 5.2.0 〜 5.2.15
FortiOS 5.0.0 〜 5.0.14
FortiGate 6000/7000シリーズ: FortiOS 7.0.0 〜 7.0.7
FortiGate 6000/7000シリーズ: FortiOS 6.4.0 〜 6.4.9
FortiGate 6000/7000シリーズ: FortiOS 6.2.0 〜 6.2.11
FortiGate 6000/7000シリーズ: FortiOS 6.0.0 〜 6.0.14

対策として以下バージョンにすることが推奨されています
- FortiOS バージョン 7.2.3あるいはそれ以降
- FortiOS バージョン 7.0.9あるいはそれ以降
- FortiOS バージョン 6.4.11あるいはそれ以降
- FortiOS バージョン 6.2.12あるいはそれ以降
- FortiOS バージョン 6.0.16あるいはそれ以降
- FortiOS-6K7K バージョン 7.0.8あるいはそれ以降
- FortiOS-6K7K バージョン 6.4.10あるいはそれ以降
- FortiOS-6K7K バージョン 6.2.12あるいはそれ以降
- FortiOS-6K7K バージョン 6.0.15あるいはそれ以降

SSL-VPNを利用している場合はバージョンのアップグレードが
必要となります。バージョンアップする際はアップグレードパス
を参考に実施しましょう。

アップグレードが難しい場合はSSL-VPNの機能を無効に
することで回避することが可能です。
--------------------------------------------------
◆SSL VPN無効化方法
6.4.9以降のバージョン
[GUIでSSL VPN無効化]
VPN＞SSL-VPN設定＞SSL-VPNを有効
ボタンでオン/オフ

[CLIでSSL VPN無効化(VDOMなし)]
#config vpn ssl settings
set sattus disable
end

[CLIでSSL VPN無効化(VDOMあり)]
#config vdom
edit ＜vdom name＞
config vpn ssl settings
set status disable
end

6.4.8以降のバージョン
[GUIでSSL VPN無効化]
方法なし

[CLIでSSL VPN無効化(VDOMなし)]
#config system interface
edit ssl.root
set status down
end

[CLIでSSL VPN無効化(VDOMあり)]
#config vdom
edit ＜vdom name＞
config system interface
set status down
end
--------------------------------------------------

以上。