PSIRT ブログ
CVE-2022-40684 に関するアップデート
フォーティネットは先日、CVE-2022-40684に関するPSIRTアドバイザリを発行し、アップグレードを含む減災のための緊急のガイダンス、およびお客様向けのワークアラウンドと推奨される次のステップを公開しました。以下のアップデートと考察は、CVE-2022-40684に対応するパッチと減災策を伝える取り組みの一環であり、潜在的に影響を受けるお客様に、FortiOS、FortiProxy、およびFortiSwitchManager製品を直ちにアップデートすることを強く推奨しています。
お客様とのタイムリーで継続的なコミュニケーションは、お客様の組織を最大限に保護するための当社の取り組みの重要な要素です。お客様とのコミュニケーションでは、最新のガイダンスや推奨される次のステップを詳しく説明しています。
今回のケースでは、この脆弱性がある事例で悪用されていることを認識したため、通常の通知プロセスを調整し、影響を受けるファームウェアバージョンをご利用しているすべてのお客様の連絡先に機密の事前警告を行い、脆弱性情報が一般に公開される前に、お客様がセキュリティ態勢をさらに強化できるようにしました。
コミュニケーションタイムライン
以下は、CVE-2022-40684に関するフォーティネットのこれまでのコミュニケーションとプロセスの背景と活動のタイムラインです。
- 10月6日:潜在的に影響を受けるすべてのデバイスのプライマリアカウントオーナーに電子メール通知を発行しました。
- 10月6日:すべてのお客様にhttps://support.fortinet.com を通じて、Customer Support Bulletinを発行しました。
- 10月6日以降: フォーティネットは、このメッセージが私たちの勧告と連動してできるだけ広く伝達されるように、CISAおよびその他の機関に通知するよう努めました。
- 10月10日:お客様とのコミュニケーションに続き、フォーティネットはパシフィック時間の早朝にアドバイザリ(FG-IR-22-377)を発行しました。
- 10月10日から現在:私たちは、状況の監視を続けながら、CVE-2022-40684に関連して提供されたガイダンスに直ちに従うよう強く求め、お客様への積極的な働きかけを続けています。
このような状況の中、フォーティネットでは、過去1週間に複数回の通知を行いましたが、依然として減災が必要なデバイスが多数存在し、外部機関によるPOCコードの公開を受け、本脆弱性の悪用が活発に行われている状況です。この事態を受け、フォーティネットは、お客様およびパートナーに対し、アドバイザリに記載された緊急かつ迅速な対応を取るよう再度推奨しています。
追加のIOC(Indicators of Compromise:侵害指標)
フォーティネットは、脆弱性が公表される前にこの問題を修正できるよう、早期の機密通知をお客様に提供しました。 脆弱性が公開されるやいなや、脅威者はこの問題を悪用しはじめました。 当社のハニーポットシステム(下記スクリーンショット参照)からわかるように、最初の機密通知後、脅威者はインターネット上でデバイスをスキャンし、脆弱性を悪用して設定をダウンロードし、悪意のある管理者アカウントをインストールしはじめました。
# show user local
edit "fortigate-tech-support"
set accprofile "super_admin"set vdom "root"
set password ENC [...]
next
フォーティネットは、アップグレードの有無にかかわらず、悪意のある第三者によって不正な変更が行われていないことを確認するため、お客様に設定の検証を行うことを推奨しています。
PSIRT チームとして、また将来を見据えたセキュリティベンダーとして私たちは、減災のためのベストプラクティスを策定し、お客様にシステムのパッチを導入していただけるよう、常に情報を提供し、奨励する方法を模索しています。
追加のご案内が必要なお客様は、カスタマーサポートにご連絡ください。
その他、ご意見などがございましたら、PSIRT@fortinet.com までご連絡ください。
フォーティネットは引き続き、PSIRTのプロセスとベストプラクティスに沿って、状況を最適に減災していきます。
フォーティネットのPSIRTポリシーの詳細については、https://www.fortiguard.com/psirt_policy をご覧ください。
