JPCERT/CCは10月11日、米Fortinetが10月10日(現地時間)にFortiOS、FortiProxyおよびFortiSwitchManagerにおける認証バイパスの脆弱性(CVE-2022-40684)に関するアドバイザリ(FG-IR-22-377)を公開したとして、注意を喚起した。米Fortinetは既にこの脆弱性を悪用した攻撃を確認しているとのこと。

CVE-2022-40684として追跡されているこの脆弱性はCVSS v3のベーススコアは9.6で、深刻度はCritical(緊急)に分類されている。この脆弱性が悪用されると、認証されていない遠隔の第三者が、同製品の管理インタフェースに細工したHTTPあるいはHTTPSリクエストを送信し、結果として任意の操作を行う危険性がいあるという。

対象の脆弱性の影響を受けるプロダクトおよびバージョンは次のとおり。

  • FortiOS - 7.0.0から7.0.6までのバージョン
  • FortiOS - 7.2.0から7.2.1までのバージョン
  • FortiProxy - 7.0.0から7.0.6までのバージョン
  • FortiProxy - 7.2.0から7.2.0までのバージョン

対象の脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • FortiOS 7.0.7
  • FortiOS 7.2.2
  • FortiProxy 7.0.7
  • FortiProxy 7.2.1

この脆弱性はリモートから悪用できることから、影響を受けるバージョンを使用しているすべてのユーザーに対して直ちにアップグレードを実行するよう強く推奨されている。また、米Fortinetは、一時的な回避策として以下を推奨している。

  • HTTP/HTTPS管理インタフェースを無効化する
  • 管理インタフェースへ接続可能なIPアドレスを制限する