FortiOS/FortiProxy/FortiSwitch Manager - 管理インタフェースにおける認証バイパスのリスク
フォーティネットは2022年10月10日(米国時間)、複数の製品に存在する脆弱性を公表しました。ここでは、FortiGate(FortiOS)の管理インタフェースに対するCriticalの脆弱性(CVE-2022-40684)について、アドバイザリーに基づいたご案内をいたします。
概要
FortiOS、FortiProxy、および FortiSwitchManager の代替パスまたはチャネルの脆弱性 [CWE-288] を使用した認証バイパスにより、不正な攻撃者が、細工した HTTP または HTTPS リクエストを介して、管理インターフェイス上で任意の操作を実行できる可能性があります。
フォーティネットでは、本脆弱性が悪用された攻撃の発生を認識しており、アドバイザリーをご参照の上、システムを直ちに検証することを推奨します。
影響を受けるOSバージョン
- FortiOS 7.2.0 ~ 7.2.1
- FortiOS 7.0.0 ~ 7.0.6
- FortiProxy 7.2.0
- FortiProxy 7.0.0 ~ 7.0.6
- FortiSwitchManager 7.2.0
- FortiSwitchManager 7.0.0
FortiOS 5.x および 6.x には影響がありません
対処方法
1. 脆弱性の暫定的な回避策
次のいずれかの対応の実施を推奨します。
- HTTP/HTTPS 管理インタフェースを無効にする
- 管理インタフェースに到達できるIPアドレスを制限する(local-in policy機能をご利用ください)
2. 脆弱性の解消
製品に応じて最新バージョンへのアップグレードをしてください。
- FortiOS 7.2.2以降
- FortiOS 7.0.7以降
- FortiProxy 7.2.1以降
- FortiProxy 7.0.7以降
- FortiSwitchManager 7.2.1以降
- FortiGate 6000F, 7000E/Fシリーズプラットフォーム:FortiOS 7.0.5 B8001以降
※ FortiManager, FortiAnalyzerをご利用の場合はFortiOSとの互換性にご注意ください。FortiManager 7.0.5 or 7.2.1 以上、FortiAnalyzer 7.0.5 or 7.2.1 以上を推奨します。
関連情報
PSIRT アドバイザリー
FG-IR-22-377
最新情報、攻撃の可能性を示すログのサンプル、
ワークアラウンドの詳細については、こちらをご参照ください
フォーティネットブログ
CVE-2022-40684 に関するアップデートについては、
こちらをご参照ください