Skip to content Skip to navigation Skip to footer

FortiGateおよびフォーティネット製品をお使いの皆様にご確認いただきたいこと

 

 

FortiOS/FortiProxy/FortiSwitch Manager - 管理インタフェースにおける認証バイパスのリスク

フォーティネットは2022年10月10日(米国時間)、複数の製品に存在する脆弱性を公表しました。ここでは、FortiGate(FortiOS)の管理インタフェースに対するCriticalの脆弱性(CVE-2022-40684)について、アドバイザリーに基づいたご案内をいたします。

 

 

概要

FortiOS、FortiProxy、および FortiSwitchManager の代替パスまたはチャネルの脆弱性 [CWE-288] を使用した認証バイパスにより、不正な攻撃者が、細工した HTTP または HTTPS リクエストを介して、管理インターフェイス上で任意の操作を実行できる可能性があります。
 
フォーティネットでは、本脆弱性が悪用された攻撃の発生を認識しており、アドバイザリーをご参照の上、システムを直ちに検証することを推奨します。

 

 

  

  

 

影響を受けるOSバージョン

  • FortiOS 7.2.0 ~ 7.2.1
  • FortiOS 7.0.0 ~ 7.0.6
  • FortiProxy 7.2.0
  • FortiProxy 7.0.0 ~ 7.0.6
  • FortiSwitchManager 7.2.0
  • FortiSwitchManager 7.0.0
FortiOS 5.x および 6.x には影響がありません

 

 

 

 

 

対処方法

1. 脆弱性の暫定的な回避策

次のいずれかの対応の実施を推奨します。

  • HTTP/HTTPS 管理インタフェースを無効にする
  • 管理インタフェースに到達できるIPアドレスを制限する(local-in policy機能をご利用ください)
 

2. 脆弱性の解消

製品に応じて最新バージョンへのアップグレードをしてください。

  

  • FortiOS 7.2.2以降
  • FortiOS 7.0.7以降
  • FortiProxy 7.2.1以降
  • FortiProxy 7.0.7以降
  • FortiSwitchManager 7.2.1以降
  • FortiGate 6000F, 7000E/Fシリーズプラットフォーム:FortiOS 7.0.5 B8001以降


※ FortiManager, FortiAnalyzerをご利用の場合はFortiOSとの互換性にご注意ください。FortiManager 7.0.5 or 7.2.1 以上、FortiAnalyzer 7.0.5 or 7.2.1 以上を推奨します。

 

  

 

関連情報

 

PSIRT アドバイザリー
FG-IR-22-377

最新情報、攻撃の可能性を示すログのサンプル、
ワークアラウンドの詳細については、こちらをご参照ください

 

フォーティネットブログ
 

CVE-2022-40684 に関するアップデートについては、
こちらをご参照ください