概要
Fortinet 社より、FortiOS、FortiProxy および FortiSwitchManager に関する脆弱性が公表されました。
これらの製品には、認証バイパスの脆弱性が確認されています。
本脆弱性が悪用されると、認証されていない遠隔の第三者が、同製品の管理インタフェースに細工した HTTP あるいは HTTPS リクエストを送信し、結果として任意の操作を行う可能性があります。
本脆弱性を悪用したと思われる攻撃が観測されたとの情報があります。今後被害が拡大するおそれがあるため、至急、対策を実施してください。
影響を受けるシステム
対象となる製品とバージョンは次の通りです。
- FortiOS バージョン 7.2.0 から 7.2.1 まで
- FortiOS バージョン 7.0.0 から 7.0.6 まで
- FortiProxy バージョン 7.2.0
- FortiProxy バージョン 7.0.0 から 7.0.6 まで
- FortiSwitchManager バージョン 7.2.0
- FortiSwitchManager バージョン 7.0.0
対策
1.脆弱性の解消 - アップデートを実施
開発者が提供する情報をもとに、最新版へアップデートしてください。開発者は、本脆弱性を修正した次のバージョンをリリースしています。
- FortiOS バージョン 7.2.2 あるいはそれ以降
- FortiOS バージョン 7.0.7 あるいはそれ以降
- FortiProxy バージョン 7.2.1 あるいはそれ以降
- FortiProxy バージョン 7.0.7 あるいはそれ以降
- FortiSwitchManager バージョン 7.2.1 あるいはそれ以降
2.脆弱性の暫定的な回避策
回避策として、Fortinet から次のいずれかの対応の実施が推奨されています。 製品ごとの回避策や詳細な設定方法については、Fortinet が提供する情報を参照してください。- HTTP/HTTPS 管理インタフェースを無効化する
- 管理インタフェースへ接続可能な IP アドレスを制限する
参考情報
- FortiOS / FortiProxy / FortiSwitchManager - Authentication bypass on administrative interface
https://www.fortiguard.com/psirt/FG-IR-22-377
- Fortinet製FortiOS、FortiProxyおよびFortiSwitchManagerの認証バイパスの脆弱性(CVE-2022-40684)に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220025.html
本件に関するお問い合わせ先
IPA セキュリティセンター
E-mail:
更新履歴
| 2022年10月11日 | 掲載 |
|---|
