フォーティネットの複数製品に悪用確認済みの脆弱性、ただちに更新を

JPCERT/CCは10月11日、米Fortinetが10月10日（現地時間）にFortiOS、FortiProxyおよびFortiSwitchManagerにおける認証バイパスの脆弱性（CVE-2022-40684）に関するアドバイザリ（FG-IR-22-377）を公開したとして、注意を喚起した。米Fortinetは既にこの脆弱性を悪用した攻撃を確認しているとのこと。

CVE-2022-40684として追跡されているこの脆弱性はCVSS v3のベーススコアは9.6で、深刻度はCritical(緊急)に分類されている。この脆弱性が悪用されると、認証されていない遠隔の第三者が、同製品の管理インタフェースに細工したHTTPあるいはHTTPSリクエストを送信し、結果として任意の操作を行う危険性がいあるという。

対象の脆弱性の影響を受けるプロダクトおよびバージョンは次のとおり。

FortiOS - 7.0.0から7.0.6までのバージョン
FortiOS - 7.2.0から7.2.1までのバージョン
FortiProxy - 7.0.0から7.0.6までのバージョン
FortiProxy - 7.2.0から7.2.0までのバージョン

対象の脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

FortiOS 7.0.7
FortiOS 7.2.2
FortiProxy 7.0.7
FortiProxy 7.2.1

この脆弱性はリモートから悪用できることから、影響を受けるバージョンを使用しているすべてのユーザーに対して直ちにアップグレードを実行するよう強く推奨されている。また、米Fortinetは、一時的な回避策として以下を推奨している。

HTTP/HTTPS管理インタフェースを無効化する
管理インタフェースへ接続可能なIPアドレスを制限する