Fortinet製品に関するお知らせ
22.10.11
CVE-2022-40684(管理インターフェースの認証バイパスの脆弱性)の影響について
- FortiGate
【CVE番号】
CVE-2022-40684
【影響について】
以下の製品、ファームウェアバージョンにて影響を受けます。
FortiOS
7.2.1, 7.2.0
7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0
FortiProxy
7.2.0
7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0
FortiSwitchManager
7.2.0
7.0.0
※現時点で他のファームウェアバージョンにおける影響は報告されていません。
最新の情報は https://www.fortiguard.com/psirt/FG-IR-22-377 にてご確認ください。
代替パスまたはチャネルの脆弱性を使用した認証バイパスにより、認証されていない攻撃者がリモートによる
HTTPまたはHTTPSリクエストを介して管理インターフェイスで操作を実行できる可能性があります。
メーカーでは本脆弱性による不正アクセス確認しています。
以下のログが記録されている場合はシステムのチェックを強く推奨しています。
user="Local_Process_Access"
【対策】
以下の対策済みファームウェアへのアップグレードまたはワークアラウンドを実施してください。
1.対策済みファームウェアバージョン
FortiOS
ver.7.2.2 以降
※2022年10月11日時点で7.2台はリリース扱いとしていません。
ver.7.0.7 以降
2022年10月11日時点でリリースに向けた検証中です。
FortiProxy
ver.7.2.1 以降
※2022年10月11日時点で7.2台はリリース扱いとしていません。
ver.7.0.7 以降
2022年10月11日時点でリリースに向けた検証中です。
FortiSwitchManager
ver.7.2.1
各ファームウェアをご希望の際にはお問合せください。
2.ワークアラウンド
HTTP/HTTPS 管理インターフェースを無効にします。
または
管理インターフェースに到達できる IP アドレスを制限します。
1) FortiOS設定例
許可IPアドレスのオブジェクトを作成します。
# config firewall address
edit "my_allowed_addresses"
set subnet [MY IP」 [MY SUBNET」
end
アドレスグループを作成します。
# config firewall addrgrp
edit "MGMT_IPs"
set member "my_allowed_addresses"
end
管理インターフェイス (ここではポート 1) のアクセスを事前定義されたグループに制限します。
# config firewall local-in-policy
edit 1
set intf port1
set srcaddr "MGMT_IPs"
set dstaddr "all"
set action accept
set service HTTPS HTTP
set schedule "always"
set status enable
next
edit 2
set intf "all"
set srcaddr "all"
set dstaddr "all"
set action deny
set service HTTPS HTTP
set schedule "always"
set status enable
end
デフォルト以外のポートを使用する場合は、GUI 管理アクセス用の適切なサービスオブジェクトを
作成します。
# config firewall service custom
edit GUI_HTTPS
set tcp-portrange
next
edit GUI_HTTP
set tcp-portrange
end
デフォルト以外のポートを使用している場合は、local-in Policy 1、2 にて「HTTPS HTTP」の代わりに
これらのオブジェクトを使用します。
2) FortiProxy設定例
# config system interface
edit port1
set dedicated-to management
set trust-ip-1 [MY IP」[MY SUBNET]
end
3) HTTP/HTTPS管理インターフェースの無効化設定
インターフェース設定からHTTP、HTTPSを除外します。
# config systemn interface
edit [ポート名]
set allowaccess ping ←http、httpsを除外して許可するアクセスのみを指定します。
end
3.その他技術情報
FortiOSの管理者アカウントに設定する「信頼するホスト(TrustHost)」の設定は現時点でワークアラウンド
としてメーカーから公開されておりません。
メーカーが案内するワークアラウンドにて対策を実施されますようお願いいたします。
最新の情報、脆弱性、対策の詳細については以下のリンク先にてご確認ください。
■FortiOS / FortiProxy / FortiSwitchManager - Authentication bypass on administrative interface
https://www.fortiguard.com/psirt/FG-IR-22-377
CVE-2022-40684
【影響について】
以下の製品、ファームウェアバージョンにて影響を受けます。
FortiOS
7.2.1, 7.2.0
7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0
FortiProxy
7.2.0
7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0
FortiSwitchManager
7.2.0
7.0.0
※現時点で他のファームウェアバージョンにおける影響は報告されていません。
最新の情報は https://www.fortiguard.com/psirt/FG-IR-22-377 にてご確認ください。
代替パスまたはチャネルの脆弱性を使用した認証バイパスにより、認証されていない攻撃者がリモートによる
HTTPまたはHTTPSリクエストを介して管理インターフェイスで操作を実行できる可能性があります。
メーカーでは本脆弱性による不正アクセス確認しています。
以下のログが記録されている場合はシステムのチェックを強く推奨しています。
user="Local_Process_Access"
【対策】
以下の対策済みファームウェアへのアップグレードまたはワークアラウンドを実施してください。
1.対策済みファームウェアバージョン
FortiOS
ver.7.2.2 以降
※2022年10月11日時点で7.2台はリリース扱いとしていません。
ver.7.0.7 以降
2022年10月11日時点でリリースに向けた検証中です。
FortiProxy
ver.7.2.1 以降
※2022年10月11日時点で7.2台はリリース扱いとしていません。
ver.7.0.7 以降
2022年10月11日時点でリリースに向けた検証中です。
FortiSwitchManager
ver.7.2.1
各ファームウェアをご希望の際にはお問合せください。
2.ワークアラウンド
HTTP/HTTPS 管理インターフェースを無効にします。
または
管理インターフェースに到達できる IP アドレスを制限します。
1) FortiOS設定例
許可IPアドレスのオブジェクトを作成します。
# config firewall address
edit "my_allowed_addresses"
set subnet [MY IP」 [MY SUBNET」
end
アドレスグループを作成します。
# config firewall addrgrp
edit "MGMT_IPs"
set member "my_allowed_addresses"
end
管理インターフェイス (ここではポート 1) のアクセスを事前定義されたグループに制限します。
# config firewall local-in-policy
edit 1
set intf port1
set srcaddr "MGMT_IPs"
set dstaddr "all"
set action accept
set service HTTPS HTTP
set schedule "always"
set status enable
next
edit 2
set intf "all"
set srcaddr "all"
set dstaddr "all"
set action deny
set service HTTPS HTTP
set schedule "always"
set status enable
end
デフォルト以外のポートを使用する場合は、GUI 管理アクセス用の適切なサービスオブジェクトを
作成します。
# config firewall service custom
edit GUI_HTTPS
set tcp-portrange
next
edit GUI_HTTP
set tcp-portrange
end
デフォルト以外のポートを使用している場合は、local-in Policy 1、2 にて「HTTPS HTTP」の代わりに
これらのオブジェクトを使用します。
2) FortiProxy設定例
# config system interface
edit port1
set dedicated-to management
set trust-ip-1 [MY IP」[MY SUBNET]
end
3) HTTP/HTTPS管理インターフェースの無効化設定
インターフェース設定からHTTP、HTTPSを除外します。
# config systemn interface
edit [ポート名]
set allowaccess ping ←http、httpsを除外して許可するアクセスのみを指定します。
end
3.その他技術情報
FortiOSの管理者アカウントに設定する「信頼するホスト(TrustHost)」の設定は現時点でワークアラウンド
としてメーカーから公開されておりません。
メーカーが案内するワークアラウンドにて対策を実施されますようお願いいたします。
最新の情報、脆弱性、対策の詳細については以下のリンク先にてご確認ください。
■FortiOS / FortiProxy / FortiSwitchManager - Authentication bypass on administrative interface
https://www.fortiguard.com/psirt/FG-IR-22-377
©Copyright Zuken NetWave Inc. All right reserved.
