【注意喚起】Fortinet製FortiOS、FortiProxyおよびFortiSwitchManagerの認証バイパスの脆弱性（CVE-2022-40684）に関する注意喚起

※情報が更新されている可能性がありますので、最新情報は以下を参照ください。
https://www.jpcert.or.jp/at/2022/at220025.html
引用元: JPCERTコーディネーションセンター 注意喚起

Fortinet製FortiOS、FortiProxyおよびFortiSwitchManagerの認証バイパスの脆弱性（CVE-2022-40684）に関する注意喚起がありました。

I. 概要
2022年10月10日（現地時間）、FortinetはFortiOS、FortiProxyおよびFortiSwitchManagerにおける認証バイパスの脆弱性（CVE-2022-40684）に関するアドバイザリ（FG-IR-22-377）を公開しました。本脆弱性が悪用されると、認証されていない遠隔の第三者が、同製品の管理インタフェースに細工したHTTPあるいはHTTPSリクエストを送信し、結果として任意の操作を行う可能性があります。

　Fortinet
　FortiOS / FortiProxy / FortiSwitchManager - Authentication bypass on administrative interface（FG-IR-22-377）
　https://www.fortiguard.com/psirt/FG-IR-22-377

Fortinetは、本脆弱性を悪用する攻撃を確認しています。影響を受ける製品を利用している場合、Fortinetの情報をご確認の上、対策や回避策の適用に加え、脆弱性を悪用する通信有無の調査を速やかにご検討いただくことを推奨します。

II. 対象
対象となる製品およびバージョンは次のとおりです。

　- FortiOS バージョン7.2.0から7.2.1まで
　- FortiOS バージョン7.0.0から7.0.6まで
　- FortiProxy バージョン7.2.0
　- FortiProxy バージョン7.0.0から7.0.6まで
　- FortiSwitchManager バージョン7.2.0
　- FortiSwitchManager バージョン7.0.0

III. 対策
Fortinetから本脆弱性を修正したバージョンへのアップグレードが推奨されています。十分なテストを実施の上、修正済みバージョンの適用をご検討ください。

　- FortiOS バージョン7.2.2あるいはそれ以降
　- FortiOS バージョン7.0.7あるいはそれ以降
　- FortiProxy バージョン7.2.1あるいはそれ以降
　- FortiProxy バージョン7.0.7あるいはそれ以降
　- FortiSwitchManager バージョン7.2.1あるいはそれ以降

IV. 回避策
本脆弱性に対する回避策として、Fortinetから次のいずれかの対応の実施が推奨されています。製品ごとの回避策や詳細な設定方法については、Fortinetが提供する情報を参照してください。

　- HTTP/HTTPS管理インタフェースを無効化する
　- 管理インタフェースへ接続可能なIPアドレスを制限する

V. 関連情報
Fortinetは、本脆弱性を悪用する攻撃を確認しており、製品の機器ログから脆弱性を悪用する通信有無を確認することを推奨しています。

また、本脆弱性を修正するパッチを解析した米セキュリティ会社Horizon3.aiが、今週中に脆弱性の解説や実証コード（Proof-of-Concept）を公開するとツイートしています。

　Twitter
　Horizon3 Attack Team@Horizon3Attack
　https://twitter.com/Horizon3Attack/status/1579285863108087810


VI. 参考情報
　Fortinet
　FortiOS / FortiProxy / FortiSwitchManager - Authentication bypass on administrative interface（FG-IR-22-377）
　https://www.fortiguard.com/psirt/FG-IR-22-377