FortinetはPSIRTアドバイザリで、FortiOSの認証コンポーネントfnbamdにおける認証回避の脆弱性を公開しました。本脆弱性は、特定のLDAPサーバー設定下で、未認証の攻撃者がAgentless VPNまたはFSSOポリシーのLDAP認証を回避できる可能性があるとされています。
目次
概要
影響を受けるのはFortiOS 7.6系の一部で、FortiOS 7.6.0〜7.6.4が対象です。修正版は7.6.5以降で、該当環境はアップグレードが推奨されます。
FortiOS 8.0/7.4/7.2/7.0/6.4は「影響なし」と整理されています。
原因
脆弱性種別はCWE-305(Authentication Bypass by Primary Weakness)で、FortiOS側のLDAP認証処理(fnbamd)により、条件次第で認証を迂回できる可能性があるとされています。
影響を受けるバージョンと条件
-
影響範囲:FortiOS 7.6.0〜7.6.4
-
影響する機能:Agentless VPN/FSSOポリシーのLDAP認証
-
想定されるリスク:認証が前提のリモートアクセスやSSO連携が、条件次第で突破され得る(未認証でのアクセスにつながる可能性)
対処方法
恒久対応:FortiOSを7.6.5以降へ更新
FortiOS 7.6.0〜7.6.4を運用している場合は、7.6.5以降へアップグレードしてください。
段階アップグレードが必要なケースがあるため、FortinetのUpgrade Path Toolで推奨経路を確認する運用が安全です。
回避策:LDAPサーバー側でunauthenticated bind(匿名バインド)を無効化
暫定的には、LDAPサーバー側でunauthenticated bindを無効化することが回避策として示されています(例:Windows Server 2019以降のADで設定可能)。
リリースに記載のPowerShell例は以下です
$configDN = (Get-ADRootDSE).configurationNamingContext
$dirSvcDN = "CN=Directory Service,CN=Windows NT,CN=Services,$configDN"
Set-ADObject -Identity $dirSvcDN -Add @{'msDS-Other-Settings'='DenyUnauthenticatedBind=1'}








