エクスプロイト&脆弱性
直接侵入に繋がるネットワーク機器の侵害:新たな脆弱性「CVE-2022-40684」に注意
Fortinet社は自社のFortiOS、FortiProxy、FortiSwitchManagerにおける認証バイパスの脆弱性(CVE-2022-40684)について、現地時間2022年10月10日に公表しました。Fortinet社では既に脆弱性に対処したアップデートを用意しておりますので、対象製品を使用する管理者の方には迅速な対応を推奨します。
昨今、ネットワーク機器の侵害からネットワーク内への侵入など深刻な被害に繋がる被害が顕著化しています。特に、VPNなど、外部接点となる機器における脆弱性の存在が狙われている中、ネットワーク機器の脆弱性の最新情報として、Fortinet社は自社のFortiOS、FortiProxy、FortiSwitchManagerにおける認証バイパスの脆弱性(CVE-2022-40684)について、現地時間2022年10月10日に公表しました。Fortinet社によれば既にこの脆弱性を悪用する攻撃の発生が確認されており、国内ではJPCERTコーディネーションセンター(JPCERT/CC)からもこの脆弱性に対する注意喚起が出されています。Fortinet社では既に脆弱性に対処したアップデートを用意しておりますので、対象製品を使用する管理者の方には迅速な対応を推奨します。
脆弱性の概要
今回のCVE-2022-40684脆弱性の悪用により、悪意のある攻撃者は対象機器の管理機能の認証をバイパスして、不正に操作を行える可能性があります。最終的にはネットワークへの侵入などの被害に繋がる危険性があるものと言えます。
Fortinet社は既にこの脆弱性を悪用した攻撃を把握しているとしていますが、詳細については公表していません。同社では利用者の環境で既に脆弱性を悪用した攻撃の兆候が発生していないか、ログの検証を行うことを推奨しています。以前にトレンドマイクロがインシデント対応支援の中で確認したVPN経由の侵入事例では、アップデート前に既に侵害が発生しており、認証情報を窃取されていたため、アップデート後にも被害が継続した例も確認しています。脆弱性アップデートとは別に、侵害発生有無の検証は重要と言えます。
外部からの「直接侵入」を狙う攻撃者
2021年以降にトレンドマイクロがインシデント対応支援を行った事例の中で、ネットワーク機器などの侵害による外部からの直接侵入が被害原因と特定された事例が最も多くなっています。
/fortinet/Picture1.jpg)
また直接侵入時に侵害されたネットワーク機器の中ではSSL-VPNが目立っており、全体の1/4を占めています。攻撃者側も当然、今回の脆弱性も含め、直接侵入に繋がるネットワーク機器の脆弱性を狙っていることがうかがえます。セキュリティ対策を担うシステム管理者の観点からは、自組織ネットワークへの外部接点と利用ネットワーク機器を洗い出し、侵入に繋がる脆弱性について迅速に対応できる体制作りが必要となっています。
被害に遭わないためには
本記事で言及したCVE-2022-40684の脆弱性については、既にFortinet社から対応のアップデートが提供されています。また、米国のセキュリティベンダーが解説と実証コード(PoC)の公開を行うことを予告しています(追加情報:10月14日公開済み)。このような脆弱性について、詳細な情報やPoCなどが公開されたのちに攻撃が増加する傾向が見られていますので、より迅速に対応する必要があります。
影響を受けるネットワーク機器の利用者においては、代理店などにも確認し、早急な対応を行うことが推奨されます。また、運用上の理由などにより直ちにアップデートが行えない場合もFortinet社が推奨する回避策を行うなどの対処を行うと共に、既に侵害を受けていないかログの検証も行ってください。