美國聯邦調查局(FBI)及網路安全暨基礎架構安全管理署(CISA)建議報告：
https://www.ic3.gov/Media/News/2021/210402.pdf

該報告最主要是針對以下三個Fortinet漏洞。
FG-IR-19-037/CVE-2019-5591
FG-IR-18-384/CVE-2018-13379
FG-IR-19-283/CVE-2020-12812

Fortinet官方說明：
https://www.fortinet.com/blog/psirt-blogs/patch-vulnerability-management

相關的建議措施：
[FG-IR-19-037/CVE-2019-5591]
https://www.fortiguard.com/psirt/FG-IR-19-037
問題：FortiOS中的默認配置漏洞可能允許同一子網中未經身份驗證的攻擊者通過模擬LDAP服務器來攔截敏感信息。
發佈日期：2019年7月26日。
受影響的產品：FortiOS 6.2.0及更低版本。
解決方案：升級到6.2.1版本且必須啟用服務器身份檢查。

啟用服務器身份檢查指令如下：
config user ldap
edit ldap-server
set ca-cert
set secure ldaps
set server-identity-check enable

[FG-IR-18-384/CVE-2018-13379]
https://www.fortiguard.com/psirt/FG-IR-18-384
問題：FortiOS SSL VPN Web中的路徑漏洞，可能允許未經身份驗證的攻擊者通過特製HTTP資源請求下載FortiOS系統檔案。
發佈日期：2019年5月24日。
受影響的產品：
FortiOS 6.0-6.0.0至6.0.4
FortiOS 5.6-5.6.3至5.6.7
FortiOS 5.4-5.4.6至5.4.12

解決方案：升級到FortiOS 5.4.13、5.6.8、6.0.5或6.2.0及更高版本。
如果確定沒使用到SSL VPN可以透過下方指令，將SSL VPN完全停用。
config vpn ssl settings
unset source-interface
end

[FG-IR-19-283/CVE-2020-12812]
https://www.fortiguard.com/psirt/FG-IR-19-283
問題：如果FortiOS中SSL VPN中的身份驗證漏洞不正確，則如果用戶更改了用戶名的大小寫，可能會導致用戶成功登錄而不會提示您輸入第二個身份驗證因素(FortiToken)。
發佈日期：2020年7月13日。
受影響的產品：FortiOS 6.4.0、6.2.0至6.2.3、6.0.9及以下。
解決方案：
升級到以下FortiOS版本：6.4.1或更高版本、6.2.4或更高版本、6.0.10或更高版本

官方建議使用的韌體版本為：
FortiOS 5.4.13, 5.6.11, 6.0.6, 6.2.2

原廠訊息
https://kb.fortinet.com/kb/microsites/microsite.do?cmd=displayKC&docType=kc&externalId=FD46513

發布日期：2019年5月24日

IR號碼：FG-IR-18-384

影響：
僅在啟用SSL VPN服務(Web模式或隧道模式)時，FortiOS SSL VPN Web門戶中的路徑遍歷漏洞可能允許未經身份驗證的攻擊者通過特製的HTTP資源請求下載FortiOS系統文件。

受影響的產品：
FortiOS 6.0版本：6.0.0至6.0.4。
FortiOS 5.6版本：5.6.3至5.6.7。
FortiOS 5.4版本：5.4.6至5.4.12。
備註：除上述以外的其他分支和版本不受影響。

解決方案：
直接升級到6.2.0或參考下列各版更新資訊。
FortiOS 6.0系列：升級到6.0.5或更高版本。
FortiOS 5.6系列：升級到5.6.8或更高版本。
FortiOS 5.4系列：升級到5.4.13或更高版本。

臨時性方案：
關閉SSL VPN功能。

原廠說明網址：
https://fortiguard.com/psirt/FG-IR-18-384