ITよろづや

ITから生活の参考になる情報を備忘録代わりに残していきます

Fortinet製FortiOS、FortiProxy、FortiSwitchManagerの認証バイパスの脆弱性 CVE-2022-40684 CVSSv3 スコア 9.6

Fortinet製FortiOS、FortiProxy、FortiSwitchManagerの認証バイパスの脆弱性 CVE-2022-40684がでているそうで、対策が必要です。

 

こちら

Fortinet製FortiOS、FortiProxyおよびFortiSwitchManagerの認証バイパスの脆弱性(CVE-2022-40684)に関する注意喚起

 

===

2022年10月10日(現地時間)、FortinetはFortiOS、FortiProxyおよびFortiSwitchManagerにおける認証バイパスの脆弱性(CVE-2022-40684)に関するアドバイザリ(FG-IR-22-377)を公開しました。本脆弱性が悪用されると、認証されていない遠隔の第三者が、同製品の管理インタフェースに細工したHTTPあるいはHTTPSリクエストを送信し、結果として任意の操作を行う可能性があります。

 

II. 対象
対象となる製品およびバージョンは次のとおりです。

- FortiOS バージョン7.2.0から7.2.1まで
- FortiOS バージョン7.0.0から7.0.6まで
- FortiProxy バージョン7.2.0
- FortiProxy バージョン7.0.0から7.0.6まで
- FortiSwitchManager バージョン7.2.0
- FortiSwitchManager バージョン7.0.0

 

III. 対策
Fortinetから本脆弱性を修正したバージョンへのアップグレードが推奨されています。十分なテストを実施の上、修正済みバージョンの適用をご検討ください。

- FortiOS バージョン7.2.2あるいはそれ以降
- FortiOS バージョン7.0.7あるいはそれ以降
- FortiProxy バージョン7.2.1あるいはそれ以降
- FortiProxy バージョン7.0.7あるいはそれ以降
- FortiSwitchManager バージョン7.2.1あるいはそれ以降

 

IV. 回避策
脆弱性に対する回避策として、Fortinetから次のいずれかの対応の実施が推奨されています。製品ごとの回避策や詳細な設定方法については、Fortinetが提供する情報を参照してください。

- HTTP/HTTPS管理インタフェースを無効化する
- 管理インタフェースへ接続可能なIPアドレスを制限する

===

 

 

公式の情報です。

https://www.fortiguard.com/psirt/FG-IR-22-377

 

FortiOS / FortiProxy / FortiSwitchManager - 管理インターフェースでの認証バイパス
概要
FortiOS、FortiProxy、および FortiSwitchManager の代替パスまたはチャネルの脆弱性 [CWE-288] を使用した認証バイパスにより、認証されていない攻撃者が、特別に細工された HTTP または HTTPS リクエストを介して管理インターフェイスで操作を実行できる可能性があります。

 

搾取状況:

フォーティネットは、この脆弱性が悪用された例を認識しており、デバイスのログにある次の侵害の兆候に対してシステムをすぐに検証することをお勧めします。

user="Local_Process_Access

サポートが必要な場合は、カスタマー サポートにお問い合わせください。

 

回避策:

FortiOS:

HTTP/HTTPS 管理インターフェースを無効にする

また

管理インターフェースに到達できる IP アドレスを制限します。

構成ファイアウォール アドレス

「my_allowed_addresses」を編集

サブネットを設定 <MY IP> <MY SUBNET>

終わり

次に、アドレス グループを作成します。

config ファイアウォール addrgrp

MGMT_IP」を編集

セットメンバー「my_allowed_addresses」

終わり

ポリシーでローカルを作成して、管理インターフェイス (ここではポート 1) の事前定義されたグループへのアクセスのみを制限します。

config ファイアウォール ローカル イン ポリシー

編集 1

intf ポート 1 を設定

srcaddr "MGMT_IPs" を設定します

dstaddr を「すべて」に設定します

アクションを設定する

サービスの設定 HTTPS HTTP

スケジュールを「常に」設定する

ステータスを有効にする

編集 2

intf を「任意」に設定

srcaddr を「すべて」に設定

dstaddr を「すべて」に設定します

アクション拒否の設定

サービスの設定 HTTPS HTTP

スケジュールを「常に」設定する

ステータスを有効にする

終わり

デフォルト以外のポートを使用する場合は、GUI 管理アクセス用の適切なサービス オブジェクトを作成します。

構成ファイアウォール サービスのカスタム

GUI_HTTPS を編集

set tcp-portrange <admin-sport>

GUI_HTTP を編集

set tcp-portrange <admin-port>

終わり

以下の local-in ポリシー 1 および 2 では、「HTTPS HTTP」の代わりにこれらのオブジェクトを使用します。

サポートが必要な場合は、カスタマー サポートにお問い合わせください。

 

FortiProxy:

HTTP/HTTPS 管理インターフェースを無効にする

また

管理インターフェース (ここでは port1) に到達できる IP アドレスを制限します。

構成システム インターフェイス

ポート1を編集

管理専用に設定

set trust-ip-1 <MY IP> <MY SUBNET>

終わり

サポートが必要な場合は、カスタマー サポートにお問い合わせください。

 

FortiSwitchManager:

HTTP/HTTPS 管理インターフェースを無効にする

サポートが必要な場合は、カスタマー サポートにお問い合わせください。

 

影響を受ける製品
FortiOS バージョン 7.2.0 ~ 7.2.1
FortiOS バージョン 7.0.0 ~ 7.0.6
FortiProxy バージョン 7.2.0
FortiProxy バージョン 7.0.0 ~ 7.0.6
FortiSwitchManager バージョン 7.2.0
FortiSwitchManager バージョン 7.0.0

 

ソリューション
FortiOS バージョン 7.2.2 以降に
アップグレードしてください FortiOS バージョン 7.0.7 以降に
アップグレードしてください FortiProxy バージョン 7.2.1 以降に
アップグレードしてください FortiProxy バージョン 7.0.7 以降にアップグレードして
ください FortiSwitchManager バージョン 7.2.1 以降にアップグレードしてください

===

 

CVSSv3 スコアも9.6と高いため、早急に対応したほうがいいですね。

 

コムテック 車用 前後2カメラ ドライブレコーダー ZDR016 前後200万画素 FullHD GPS搭載 後続車両接近お知らせ機能搭載 安全運転支援機能搭載 常時録画 衝撃録画 高速起動