Fortinet製品にCVSS v3スコア9.6の脆弱性 直ちにパッチの適用を

Fortinetは複数製品に深刻度「緊急」（Critical）の脆弱性が存在すると発表した。該当製品を使用している場合、直ちに内容を確認するとともにアップデートおよび回避策を適用してほしい。

[後藤大地，有限会社オングス]

　Fortinetは2022年10月10日（現地時間）、PSIRT（Product Security Incident Response Team）アドバイザリで同社の複数製品に深刻度「緊急」（Critical）に分類される脆弱（ぜいじゃく）性（CVE-2022-40684）が存在すると発表した。

　Fortinetは既に同脆弱性の悪用が確認されているとし、該当製品を使用している場合は直ちにパッチを適用することを推奨している。

Fortinetは、同社の複数製品に「緊急」に分類される脆弱性が存在すると発表した（出典：FortinetのWebサイト）

脆弱性が存在する製品は？

　CVE-2022-40684は、CVSS v3のスコアが9.6で深刻度「緊急」（Critical）に分類されている。CVE-2022-40684を利用した認証バイパスを悪用されると、認証されていない攻撃者が、細工されたHTTP/HTTPSリクエストを介して管理者権限での操作が可能になるとされている。これにより、緊急性が高いと判断されている。なお、同脆弱性が存在する製品およびバージョンは以下の通りだ。

• FortiOS 7.2.0から7.2.1までのバージョン
• FortiOS 7.0.0から7.0.6までのバージョン
• FortiProxy 7.2.0までのバージョン
• FortiProxy 7.0.0から7.0.6までのバージョン
• FortiSwitchManager 7.2.0
• FortiSwitchManager 7.0.0

　脆弱性を修正した製品およびバージョンは以下の通りだ。

• FortiOS 7.2.2 およびこれ以降のバージョン
• FortiOS 7.0.7 およびこれ以降のバージョン
• FortiProxy 7.2.1 およびこれ以降のバージョン
• FortiProxy 7.0.7 およびこれ以降のバージョン
• FortiSwitchManager 7.2.1 およびこれ以降のバージョン

　Fortinetは製品のアップデートだけでなく、一時的に問題を回避する方法についても説明している。同脆弱性を悪用されれば簡単にサイバー攻撃の影響を受ける可能性があることから、迅速に対処してほしい。