トップ セキュリティ情報 2019年度 【注意喚起】SSL VPN 製品の脆弱性に関する注意喚起

【注意喚起】SSL VPN 製品の脆弱性に関する注意喚起

2019年9月3日 南大沢 日野 荒川

SSL VPN 製品の脆弱性について注意喚起がありました。

本件の情報は「下記の SSL VPN 製品を使用しているシステム担当者」向けとなります。
※不明な場合は構築業者又は保守運用業者にお問い合わせください。
----------------------------------------------------
●概要
複数の SSL VPN 製品の脆弱性について、脆弱性に対する実証コードなどの詳細な情報が
公表されていることを確認しています。
 - Palo Alto Networks (CVE-2019-1579)
 - Fortinet (CVE-2018-13379)
 - Pulse Secure (CVE-2019-11510)

●脅威
これらの脆弱性を悪用された場合に、攻撃者がリモートから任意のコードを実行できる
可能性(CVE-2019-1579) や、任意のファイルを読み取り、認証情報などの機微な情報を
取得する可能性(CVE-2018-13379, CVE-2019-11510) があります。

●対象
Palo Alto Networks (CVE-2019-1579, GlobalProtect が有効な場合)
 - PAN-OS 7.1.18 およびそれ以前のバージョン
 - PAN-OS 8.0.11-h1 およびそれ以前のバージョン
 - PAN-OS 8.1.2 およびそれ以前のバージョン

Fortinet (CVE-2018-13379, SSL VPN サービスが有効な場合)
 - FortiOS 5.4.6 から 5.4.12 までのバージョン
 - FortiOS 5.6.3 から 5.6.7 までのバージョン
 - FortiOS 6.0.0 から 6.0.4 までのバージョン

Pulse Secure (CVE-2019-11510)
 - Pulse Policy Secure 5.1R1 から 5.1R15 までのバージョン
 - Pulse Policy Secure 5.2R1 から 5.2R12 までのバージョン
 - Pulse Policy Secure 5.3R1 から 5.3R12 までのバージョン
 - Pulse Policy Secure 5.4R1 から 5.4R7 までのバージョン
 - Pulse Policy Secure 9.0R1 から 9.0R3.3 までのバージョン
 - Pulse Connect Secure 8.1R1 から 8.1R15 までのバージョン
 - Pulse Connect Secure 8.2R1 から 8.2R12 までのバージョン
 - Pulse Connect Secure 8.3R1 から 8.3R7 までのバージョン
 - Pulse Connect Secure 9.0R1 から 9.0R3.3 までのバージョン

●対処方針
各ベンダが提供する情報を参考に、修正済みのバージョンにアップデートしてください。

以上、よろしくお願い申し上げます。

ページ上部へ戻る