セキュリティの
学び場

今回の解説ニュース

セキュリティ製品の脆弱性について、調査結果が発表されています。今回、調査された脆弱性の内容と、その対策について説明します。

今回の脆弱性では、Fortinet社のNW機器で管理画面の認証がバイパスされるということです。本脆弱性が悪用された場合、サーバの設定変更やユーザ追加等、機器に対して様々な操作が行われ、攻撃者が組織内へ侵入するポイントになりうる可能性があるということです。CVE番号はCVE-2022-40684です。

Fortinet社のNW機器で管理者用ログイン画面をインターネットに公開しているサーバの台数を調査したところ、グローバルで196,668台、日本国内で8,161台が確認でき、いつどこから攻撃を受けてもおかしくない状況と指摘し、自社だけではなく関連会社や海外拠点についても対策することが強く推奨されています。

緊急度の極めて高い脆弱性「CVE-2022-40684」

今回、調査された脆弱性CVE-2022-40684について説明します。

2022年10月10日に、FortinetはFortiOS、FortiProxyおよびFortiSwitchManagerにおける認証バイパスの脆弱性に関するアドバイザリを公開しました。本脆弱性が悪用されると、認証されていない遠隔の第三者が、同製品の管理画面に細工したHTTPあるいはHTTPSリクエストを送信し、結果として任意の操作を行う可能性があります。

対象となる製品およびバージョンは、「FortiOS バージョン7.2.0から7.2.1までと7.0.0から7.0.6まで、FortiProxy バージョン7.2.0とバージョン7.0.0から7.0.6まで、FortiSwitchManager バージョン7.2.0とバージョン7.0.0です。

Fortinetから本脆弱性を修正したバージョンへのアップグレードが推奨されています。また、本脆弱性を修正するパッチを解析したアメリカのセキュリティ会社からは、脆弱性を悪用し、管理者ユーザーとして認証を行うためのSSH公開鍵認証の設定を追加する方法が解説されています。今後、本脆弱性を悪用する攻撃が増加する可能性があるため、速やかな対策や回避策の適用および調査の実施が推奨されています。

脆弱性の対処、修正パッチを適用する以外の対策は？

パッチを適用する以外の対策として、脆弱性の有無に限らず、第三者にサイバー攻撃の機会自体を与えないようにすることが挙げられます。

例えば、Aさんが海外旅行に行ったとします。旅先で荷物を取らないようにするために、常に鞄を自分の目の前において移動する対策が考えられます。しかし、そもそも危険な目に合わないように、治安の悪い地域には行かないという選択肢も考えられます。2つの違いは、前者が泥棒に荷物を取られないようにする対策に対して、後者は泥棒に荷物を取る機会を与えない対策です。

セキュリティ対策も同様で、サイバー攻撃の機会自体を与えないようにすることで、パッチを適用する以外の回避策として、そのリスクを軽減することが可能です。今回発表された脆弱性に対する回避策として「HTTPとHTTPSの管理画面を無効化する」「管理画面へ接続可能なIPアドレスを制限する」事が挙げられています。つまり、攻撃者が管理画面へアクセスできる機会自体をなくしてしまうことで、脆弱性は存在していてもそれが悪用されるリスクを軽減することが可能です。

今回は、セキュリティ製品で見つかった脆弱性の内容と、その対策についてお届けしました。