CAPWAPデーモンでのアクセス停止[FG-IR-26-123]

　平素より弊社サービスをご利用いただき、誠にありがとうございます。

　Fortinet社より、FortiOS の無線AP制御用プロセスの脆弱性[FG-IR-26-123]が公開されましたので、
ご案内いたします

■概要
　FortiOS の CAPWAP デーモンにおける境界外書き込みの脆弱性（CWE-787）により、認証済みの
　FortiAP、FortiExtender、または FortiSwitch を制御できる攻撃者が、FortiGate デバイス上でコード
　やコマンドを実行する権限を取得できる可能性があります。

■対象製品と影響Version、対策済みVersion
　対象製品 　　　影響を受けるVersion　　　対策済みVersion
　FortiOS 7.6 　　7.6.0 ～ 7.6.3 　　　　　　 7.6.4 以降
　FortiOS 7.4 　　7.4.0 ～ 7.4.8 　　 　　　　7.4.9 以降
　FortiOS 7.2 　　7.2.0 ～ 7.2.11 　　　　　　7.2.12 以降

■回避策
　解決済みのOSにVer.UPして下さい。

ワークアラウンドとして、capwap daemonを無効化してください。
config global
　config system global
　set wireless-controller disable
end

設定後、以下の確認をして下さい。
#show full | grep wireless-controller
set wireless-controller disable
set wireless-controller-port 5246
show full | grep fortiextender
set fortiextender disable
set fortiextender-data-port 25246
set fortiextender-discovery-lockdown disable
set fortiextender-provision-on-authorization disable
set fortiextender-vlan-mode disable

■詳細情報
　本件に関する詳細は、Fortinet社の公式発表をご確認下さい。
[Fortinet PSIRT Advisory G-IR-26-123] https://fortiguard.fortinet.com/psirt/FG-IR-26-123

■お問い合わせについて
ご不明点がございましたら、以下までお問い合わせ下さい。
　※有効な契約のあるシリアル番号をご記載下さい。
　　NVCカスタマーサポート　nvc-tac@nvc.co.jp　(弊社営業日9:00～17:00)