PSIRT ブログ
FortiNACのCVE-2022-39952に対する見解
影響を受けるプラットフォーム: FortiNAC
影響を受けるユーザー: 不正なコードやコマンドを実行するユーザー
影響: リモートコード実行
深刻度: クリティカル
フォーティネットは、2023年2月16日にFortiNACに関するクリティカルアドバイザリ(FG-IR-22-300 / CVE-2022-39952)を公開しました。このブログは、アドバイザリに見解を加え、お客様が情報に基づいたリスクベースの意思決定を行えるように、さらなる正確な詳細情報を提供するためのものです。
フォーティネットのプロダクトセキュリティ インシデントレスポンスチーム(PSIRT)は、コードがリリースされる前に不具合を特定するために熱心に取り組んでいます。セキュリティを製品開発ライフサイクルの最優先事項とし、最高レベルのセキュリティ保証基準を提供することを約束するプロセスが導入されていても、脆弱性は発生してしまいます。
フォーティネットでは、SAST(Static Application Security Testing:静的アプリケーションセキュリティテスト)、DAST(Dynamic Application Security Testing:動的アプリケーションセキュリティテスト)、SCA(Software Composition Analysis:ソフトウェア構成分析)、侵入テストなど、複数の方法で製品セキュリティを厳密にテストしていますが、最も生産的な方法の1つは、製品の手動セキュアコード監査(Manual Secure Code Audits)です。これは集中的に行われる骨の折れる作業ですが、2022年に公開されたすべての脆弱性の80%以上がフォーティネットのPSIRTチームが発見したものであり、このような地道な作業が大きな成果を上げています。これは、サイバー攻撃者に先んじることができるため、極めて重要な数字となっています。
フォーティネットのPSIRTチーム自身が、このリモートコード実行の脆弱性を発見したのも、こうした内部監査の1つであったという点が重要です。フォーティネットは、この問題を直ちに修正し、2月のPSIRTアドバイザリで発表しました(アドバイザリを購読されていない場合は、こちらに記載されているいずれかの方法で登録することを強く推奨します)。フォーティネットのPSIRTポリシーは、当社の透明性の文化と、お客様のセキュリティに対するコミットメントのバランスを取っています。フォーティネットの公開済みPSIRTポリシーに基づき、対処済みの脆弱性はすべてアドバイザリで公開され、減災策や推奨される次のステップについて、フォーティネットはお客様や業界パートナーと積極的に連携しています。
お客様の組織を最大限に保護し、安全を確保するためには、お客様とのタイムリーかつ継続的なコミュニケーションが不可欠です。本アドバイザリの公開直後に、サードパーティのセキュリティ組織がこの脆弱性のPOC(概念実証)を公開しました。
詳しい説明
- これは重大な問題であり、影響を受けるバージョンを実行しているFortiNACのお客様はアップグレードする必要があります。
- 最新のアドバイザリには、フォーティネットPSIRTチームの懸命な作業によって作成されたFortiNACの修正が含まれています。
- CVE-2022-42475に基づいて、711,234台のデバイスが「大規模に悪用」される可能性があるというセンセーショナルな報告がなされています。これらの報告は誤りです。
- ほとんどの組織では、インターネットに公開されていないエアギャップ環境でFortiNACを利用しています。また、フォーティネットは膨大なサイバーセキュリティのポートフォリオを有し、1,000万台以上を出荷していますが、その中で脆弱なデバイスは実際には711,234台も存在しません。フォーティネットはどのベンダーよりも多くのセキュリティアプライアンスを出荷しているため、このような誤解が生まれるのは理解できますが、この報告は誤りです。
- ほとんどの組織では、インターネットに公開されていないエアギャップ環境でFortiNACを利用しています。また、フォーティネットは膨大なサイバーセキュリティのポートフォリオを有し、1,000万台以上を出荷していますが、その中で脆弱なデバイスは実際には711,234台も存在しません。フォーティネットはどのベンダーよりも多くのセキュリティアプライアンスを出荷しているため、このような誤解が生まれるのは理解できますが、この報告は誤りです。
- 報告された「大規模な悪用」の数字に関してもう1つ考えられるのは、クラウドハニーポットでの観測は、攻撃者が外部から提供されたPOCコードを使用して、何らかのデバイス(必ずしもFortiNACデバイスではない)を侵害しようとしていることを示しているだけの数字ではないかということです。それとこれとは別問題です。
- この種のニュースと同様に、不正確な情報は、情報の検索や解釈において確証バイアスを生み出す可能性があります。このようなバイアスは、正当な証拠よりも、既にある情報や先入観をより重視します。
結論
フォーティネットのお客様に提供される情報は、お客様が情報に基づいたリスクベースの意思決定を行うのに役立ちます。そのような情報が正確であることを保証することは、その評価において不可欠な要素です。とはいえ、ここで提供された追加情報は、この問題の重大性を軽減することを意図したものではありません。
お客様はFortiNACを直ちにアップグレードする必要があるでしょうか? はい、もちろんです。
詳細な情報とガイダンスについては、Fortinet PSIRTアドバイザリを参照してください。また、お客様は、フォーティネットのサポートから、より詳細な情報を得ることができます。
