Fortinetユーザーはもう一度点検を、深刻な脆弱性が続出

FortiOSに新しい脆弱性が見つかった。攻撃者が何年も穴を探し続け、とうとう見つけ出したものだ。どのような危険性があるのだろうか。

[David Jones，Cybersecurity Dive]

　セキュリティを提供している製品にも脆弱（ぜいじゃく）性がある。Fortinetの製品も例外ではない。2022年12月に見つかったFortiOSの脆弱性どの程度危険なのだろうか。

相次いで最近深刻な脆弱性が見つかったFortinet製品

　FortiOSのSSL-VPNに重大な脆弱性が発見されたため、Fortinetはセキュリティアップグレードを適用するよう、顧客に警告をしている（注1）。

　リモートで認証された攻撃者が任意のコマンドを実行して、標的のシステムを制御できるという脆弱性だ。悪用された事例が少なくとも1件存在するという。

　この脆弱性は「CVE-2022-42475」と呼ばれており、ヒープベースのバッファオーバーフローを起こすことが原因だ。

　Fortinetの広報担当者は「顧客のセキュリティに尽力している」と述べた。PSIRT（Product Security Incident Response Team）アドバイザリープロセスを通じて提供されたガイダンスに従い、状況の監視を継続するよう顧客に通知しているという。

　Tenableのクレア・ティルス氏（シニアリサーチエンジニア）は、FortinetのSSL-VPNが何年も前から攻撃者のターゲットになっていると述べた（注2）。ティルス氏によれば、FBIとCISA（米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁）は、2021年にこれらの欠陥に関するアドバイザリーを発している（注3）。

　Fortinetはここ最近深刻な脆弱性に相次いで見舞われている。CISAは、2022年10月に「CVE-2022-40684」（CVSSスコア9.6）として、複数のFortinet製品を「Known Exploited Vulnerabilities」（既知の悪用された脆弱性）カタログに追加した。

　今回の脆弱性は、フランスのサイバーセキュリティ企業Olympe Cyberdefenseがここ数日のうちに公表したものだ（注4）。

　Rapid7のグレン・ソープ氏（プログラムマネジャー《緊急脅威レスポンス担当》）によれば、FortiOSのSSL-VPNのような製品は、外部のインターネットと組織内部のリソースをつなぐブリッジとして機能するように設計されている。

　今回のような脆弱性があると、認証されていない攻撃者が独自のコードを実行できるようになる。

　「（FortinetのSSL-VPNは）認証されたユーザーや許可されたユーザーだけが内部リソースにアクセスできるという本来の機能を果たせないだけでなく、（このSSL-VPNが）保護するために設計されたアクセス権を攻撃者が取得する経路を提供していることになる」（ソープ氏）

出典：Fortinet urges customers to upgrade systems amid critical vulnerability（Cybersecurity Dive）

注1：PSIRT Advisories FortiOS - heap-based buffer overflow in sslvpnd

注2：CVE-2022-42475: Fortinet Patches Zero Day in FortiOS SSL VPNs

注3：APT Actors Exploit Vulnerabilities to Gain Initial Access for Future Attacks

注4：Talos Cyber Veille Faille 0 day FortiGate VPN-SSL