JPCERT/CCは10月11日、米Fortinetが10月10日(現地時間)にFortiOS、FortiProxyおよびFortiSwitchManagerにおける認証バイパスの脆弱性(CVE-2022-40684)に関するアドバイザリ(FG-IR-22-377)を公開したとして、注意を喚起した。米Fortinetは既にこの脆弱性を悪用した攻撃を確認しているとのこと。
CVE-2022-40684として追跡されているこの脆弱性はCVSS v3のベーススコアは9.6で、深刻度はCritical(緊急)に分類されている。この脆弱性が悪用されると、認証されていない遠隔の第三者が、同製品の管理インタフェースに細工したHTTPあるいはHTTPSリクエストを送信し、結果として任意の操作を行う危険性がいあるという。
対象の脆弱性の影響を受けるプロダクトおよびバージョンは次のとおり。
- FortiOS - 7.0.0から7.0.6までのバージョン
- FortiOS - 7.2.0から7.2.1までのバージョン
- FortiProxy - 7.0.0から7.0.6までのバージョン
- FortiProxy - 7.2.0から7.2.0までのバージョン
対象の脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- FortiOS 7.0.7
- FortiOS 7.2.2
- FortiProxy 7.0.7
- FortiProxy 7.2.1
この脆弱性はリモートから悪用できることから、影響を受けるバージョンを使用しているすべてのユーザーに対して直ちにアップグレードを実行するよう強く推奨されている。また、米Fortinetは、一時的な回避策として以下を推奨している。
- HTTP/HTTPS管理インタフェースを無効化する
- 管理インタフェースへ接続可能なIPアドレスを制限する