Fortinet製品における認証バイパスの脆弱性（CVE-2022-40684）に関する調査記事を公開

Fortinet社より一部製品において認証をバイパスされる可能性のある脆弱性が発表されました。
本脆弱性を悪用された場合、認証されていない攻撃者が特別に細工された HTTP または HTTPS 要求を用いることで管理インターフェースで操作を実行される可能性があります。

既に本脆弱性を悪用した攻撃が観測されており、また本脆弱性のPoC（概念実証プログラム）が公開されていることから今後悪用が拡大することが懸念されます。

影響を受ける製品

・FortiOS バージョン7.2.0から7.2.1まで
・FortiOS バージョン7.0.0から7.0.6まで
・FortiProxy バージョン7.2.0
・FortiProxy バージョン7.0.0から7.0.6まで
・FortiSwitchManager バージョン7.2.0
・FortiSwitchManager バージョン7.0.0
※FortiOS バージョン5.xおよび6.xは本脆弱性の影響はありません。

対応策について

Fortinet社より本脆弱性の修正を行ったバージョンがリリースされており、恒久的な対策としては対策済みバージョンへのバージョンアップが必要です。
また、ワークアラウンドとして、管理インターフェースへの通信制限や管理インターフェースでのHTTPおよびHTTPSアクセスの無効化により影響の緩和が可能です。

セキュアヴェイルグループでは、Fortinet社のセキュリティアドバイザリに記載のワークアラウンドとは別の方法で管理インターフェースへのアクセス制限を行っている環境でも、脆弱性の影響の緩和ができることを確認し、調査記事を公開しております。

Fortinet製品における認証バイパスの脆弱性(CVE-2022-40684)に対するFortiOSでの緩和策について

参考情報

Fortinet社によるセキュリティアドバイザリ
FortiOS / FortiProxy / FortiSwitchManager – Authentication bypass on administrative interface（FG-IR-22-377）