Fortinet製品の緊急脆弱性、概念実証が公開される

Horizon 3 AIはこのほど、「FortiOS, FortiProxy, and FortiSwitchManager Authentication Bypass Technical Deep Dive (CVE-2022-40684) – Horizon3.ai」において、Fortinetが提供しているFortiOS、FortiProxy、およびFortiSwitchManagerに影響を与える重大な脆弱性に関する概念実証(PoC: Proof of Concept)を公開した。攻撃者がこの脆弱性を悪用することで、管理者としてログインできることが明らかになった。

この問題は認証回避の脆弱性に関するもので、特別に細工したHTTP(S)リクエストにより、リモートの攻撃者が管理インタフェース上で不正な操作を行えるとされている。対象の脆弱性は「CVE-2022-40684」として特定されており、CVSSv3スコア値は9.6で深刻度は緊急(Critical)に分類されているため注意が必要。