【脆弱性リスト】
■FortiOS
| 公開日 |
登録日 |
CVE番号 |
NVD |
ベンダー |
CVSS v3 |
CWE |
脆弱性 |
KEV |
備考 |
|---|---|---|---|---|---|---|---|---|---|
| 2019/06/04 | 2018/07/06 | CVE-2018-13379 | NVD | FG-IR-20-233 FG-IR-18-384 |
9.8(NVD) 9.1(Fortinet) |
CWE-22 | パス・トラバーサル | FG-IR-20-233, FG-IR-18-384 | |
| 2022/10/10 | 2022/09/14 | CVE-2022-40684 | NVD | FG-IR-22-377 | 9.6(Fortinet) |
CWE-306 | 重要な機能に対する認証の欠如 | FG-IR-22-377 | |
| 2022/12/06 | 2022/07/13 | CVE-2022-35843 | NVD | FG-IR-22-255 | 9.8(NVD) 7.8(Fortinet) |
CWE-287 | 不適切な認証 | FG-IR-22-255 | |
| 2022/12/12 | 2022/10/07 | CVE-2022-42475 | NVD | FG-IR-22-398 | 9.8(NVD) 9.3(Fortinet) |
CWE-787 CWE-122 |
境界外書き込み ヒープベースのバッファオーバーフロー |
FG-IR-22-398 | |
| 2023/06/13 | 2023/03/09 | CVE-2023-27997 | NVD | FG-IR-23-097 | 9.8(Fortinet) |
CWE-787 | 境界外書き込み | FG-IR-23-097 | |
| 2023/07/11 | 2023/05/22 | CVE-2023-33308 | NVD | FG-IR-23-183 | 9.8(Fortinet) |
CWE-787 | 境界外書き込み | FG-IR-23-183 | |
| 2024/02/08 | 2024/01/02 | CVE-2024-21762 | NVD | FG-IR-24-015 | 9.8(Fortinet) |
CWE-787 | 境界外書き込み | 2024/02/09 | FortiOS |
| 2024/02/08 | 2024/01/11 | CVE-2024-23113 | NVD | FG-IR-24-029 | 9.8(Fortinet) |
- | - | ||
| 2024/02/08 | 2023/11/06 | CVE-2023-47537 | NVD | FG-IR-23-301 | 4.4(Fortinet) |
- | - | ||
| 2024/02/08 | 2023/09/29 | CVE-2023-44487 | NVD | FG-IR-23-397 | 7.5(NVD) 5.3(Fortinet) |
CWE-400 | リソースの枯渇 | ||
| 2024/03/12 | 2023/09/14 | CVE-2023-42789 | NVD | FG-IR-23-328 | 9.8(Fortinet) |
CWE-787 | 境界外書き込み | ||
| 2024/03/12 | 2023/09/14 | CVE-2023-42790 | NVD | FG-IR-23-327 | 8.1(Fortinet) |
CWE-121 | ヒープベースのバッファオーバーフロー | ||
| 2024/03/12 | 2024/01/11 | CVE-2024-23112 | NVD | FG-IR-24-013 | 8.0(Fortinet) |
CWE-639 | ユーザ制御の鍵による認証回避 | ||
| 2024/03/12 | 2023/10/25 | CVE-2023-46717 | NVD | FG-IR-23-424 | 7.5(Fortinet) |
CWE-287 | 不適切な認証 | ||
| 2025/01/14 | 2024/12/09 | CVE-2024-55591 | NVD | FG-IR-24-535 | 9.8(Fortinet) |
CWE-288 | 代替パスまたはチャネルを使用した認証回避 | 2025/01/14 | FortiOS, FortiProxy |
| 2025/02/11 | 2024/07/05 | CVE-2024-40591 | NVD | FG-IR-24-302 | 8.8(Fortinet) |
CWE-266 | 不適切な権限設定 | - | FortiOS |
| 2025/02/11 | 2024/05/14 | CVE-2024-35279 | NVD | FG-IR-24-160 | 8.1(Fortinet) |
CWE-121 | スタックベースのバッファオーバーフロー | - | FortiOS |
| 2025/02/11 | 2023/08/21 | CVE-2023-40721 | NVD | FG-IR-23-261 | 6.7(Fotinet) |
CWE-134 | 書式文字列の問題 | - | FortiOS / FortiProxy / FortiPAM / FortiSwitchManager |
| 2025/02/11 | 2025/01/21 | CVE-2025-24472 | NVD | FG-IR-24-535 | 8.1(Fortinet) |
CWE-288 | 代替パスまたはチャネルを使用した認証回避 | - | FortiOS FortiProxy |
【FortiOS】
◆CVE-2023-27997 (まとめ)
https://vul.hatenadiary.com/entry/CVE-2023-27997
◆CVE-2023-33308 (まとめ)
https://vul.hatenadiary.com/entry/CVE-2023-33308
◆CVE-2024-21762 (まとめ)
https://vul.hatenadiary.com/entry/CVE-2024-21762
◆CVE-2024-55591 / FortiRekt (まとめ)
https://vul.hatenadiary.com/entry/FortiRekt
【ニュース】
■2019年
◆セキュリティ製品の「VPN」機能に相次いで脆弱性 (Security NEXT, 2019/07/30)
http://www.security-next.com/106918
⇒ https://vul.hatenadiary.com/entry/2019/07/30/000000
■2022年
◆「FortiOS」などに認証回避の脆弱性、悪用も - すぐに侵害状況の確認を (Security NEXT, 2022/10/11)
https://www.security-next.com/140430
⇒ https://vul.hatenadiary.com/entry/2022/10/11/000000
■2023年
◇2023年1月
◆FortinetのVPN製品に「バッファオーバーフロー」の脆弱性 どう対処すべきか (TechTarget, 2023/01/13 05:00)
FortinetのVPN製品に深刻な脆弱性が見つかった。ユーザー企業は迅速に対処する必要があるという。具体的にはどうすればいいのか。
https://techtarget.itmedia.co.jp/tt/news/2301/13/news06.html
⇒ https://vul.hatenadiary.com/entry/2023/01/13/000000
◇2023年6月
◆Fortinetの「SSL VPN」に深刻な脆弱性 - アップデートの実施を (Security NEXT, 2023/06/13)
https://www.security-next.com/146920
⇒ https://vul.hatenadiary.com/entry/2023/06/13/000000
◆「FortiOS」の脆弱性「CVE-2023-27997」、すでに悪用済み (Security NEXT, 2023/06/14)
https://www.security-next.com/146960
⇒ https://vul.hatenadiary.com/entry/2023/06/14/000000
◇2023年7月
◆Fortinet warns of critical RCE flaw in FortiOS, FortiProxy devices (BleepingComputer, 2023/07/12 10:40)
[フォーティネット、FortiOSおよびFortiProxyデバイスに重大なRCEの欠陥があることを警告]
https://www.bleepingcomputer.com/news/security/fortinet-warns-of-critical-rce-flaw-in-fortios-fortiproxy-devices/
⇒ https://vul.hatenadiary.com/entry/2023/07/12/000000_1
◆「FortiOS」に深刻な脆弱性 - リモートよりコード実行のおそれ (Security NEXT, 2023/07/12)
https://www.security-next.com/147757
⇒ https://vul.hatenadiary.com/entry/2023/07/12/000000
■2024年
◇2024年2月
◆「FortiOS」に複数の深刻な脆弱性 - すでに一部は悪用か (Security NEXT, 2024/02/09)
https://www.security-next.com/153615
⇒ https://vul.hatenadiary.com/entry/2024/02/09/000000
◇2024年3月
◆Critical Fortinet flaw may impact 150,000 exposed devices (BleepingComputer, 2024/03/08 15:37)
[フォーティネットの重大な欠陥、15万台の露出したデバイスに影響か]
https://www.bleepingcomputer.com/news/security/critical-fortinet-flaw-may-impact-150-000-exposed-devices/
⇒ https://vul.hatenadiary.com/entry/2024/03/08/000000_3
◆「FortiOS」のキャプティブポータルに深刻な脆弱性 - アップデートを (Security NEXT, 2024/03/13)
https://www.security-next.com/154798
⇒ https://vul.hatenadiary.com/entry/2024/03/13/000000
◇2024年5月
◆Fortinetの「FortiOS」に複数脆弱性 - 重要度は「中」 (Security NEXT, 2024/05/15)
https://www.security-next.com/157010
⇒ https://vul.hatenadiary.com/entry/2024/05/15/000000
◇2024年11月
◆「FortiOS」などFortinetの複数製品に脆弱性 - アドバイザリ18件を公開 (Security NEXT, 2024/11/13)
https://www.security-next.com/164124
⇒ https://vul.hatenadiary.com/entry/2024/11/13/000000
■2025年
◇2025年1月
◆「FortiOS」に複数脆弱性 - 一部で悪用報告も (Security NEXT, 2025/01/15)
https://www.security-next.com/166146
⇒ https://vul.hatenadiary.com/entry/2025/01/15/000000
◆48,000+ internet-facing Fortinet firewalls still open to attack (HelpnetSecurity, )
[インターネットに面した48,000台以上のFortinet製ファイアウォールが依然として攻撃を受けている状態]
https://www.helpnetsecurity.com/2025/01/22/48000-internet-facing-fortinet-firewalls-still-open-to-attack/
⇒ https://vul.hatenadiary.com/entry/2025/01/22/000000_2
◆「FortiOS」ゼロデイ脆弱性 - 詳細や概念実証が公開 (Security NEXT, 2025/01/30)
https://www.security-next.com/166718
⇒ https://vul.hatenadiary.com/entry/2025/01/30/000000
◇2025年4月
◆既知脆弱性による「FortiOS」侵害の新手法 - 初期経路封じても被害継続 (Security NEXT, 2025/04/16)
https://www.security-next.com/169361
⇒ https://vul.hatenadiary.com/entry/2025/04/16/000000_3
◆Fortinet製デバイス1万6000台超がバックドア被害に 急ぎ対策を (ITmedia, 2025/04/20 07:00)
https://www.itmedia.co.jp/enterprise/articles/2504/20/news053.html
⇒ https://vul.hatenadiary.com/entry/2025/04/20/000000
【公開情報】
◆FortiOS system file leak through SSL VPN via specially crafted HTTP resource requests (Fortinet, 2019/05/24)
https://www.fortiguard.com/psirt/FG-IR-18-384
⇒ https://vul.hatenadiary.com/entry/2019/05/24/000000_1
◆Fortinet 製 FortiOS および FortiProxy の脆弱性対策について(CVE-2023-27997) (IPA, 2023/06/14)
https://www.ipa.go.jp/security/security-alert/2023/alert20230613.html
⇒ https://vul.hatenadiary.com/entry/2023/06/14/000000_1
【資料】
◆CVE-2018-13379 (CVEStalker)
https://www.cvestalker.com/cve.php?cve=CVE-2018-13379
⇒ https://vul.hatenadiary.com/entry/2020/12/06/000000
【CVE データベース】
◆CVE-2018-13379 (Mitre, 2019/06/04)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-13379
⇒ https://vul.hatenadiary.com/entry/2018/07/06/000000
【検索】
google: FortiOS
google:news: FortiOS
google: site:virustotal.com FortiOS
google: site:github.com FortiOS
■Bing
https://www.bing.com/search?q=FortiOS
https://www.bing.com/news/search?q=FortiOS
https://twitter.com/search?q=%23FortiOS
https://twitter.com/hashtag/FortiOS
【関連まとめ記事】
◆ネットワーク機器の脆弱性 (まとめ)
https://vul.hatenadiary.com/entry/Network_Equipment
