Fortinet の脆弱性 CVE-2022-40684 に PoC エクスプロイト：直ちに パッチ適用を！

Exploit available for critical Fortinet auth bypass bug, patch now

2022/10/13 BleepingComputer — FortiOS／FortiProxy／FortiSwitchManager アプライアンスに影響を及ぼす深刻な認証バイパスの脆弱性に対して、PoC エクスプロイトコードが利用可能になった。この脆弱性 CVE-2022-40684 の悪用に成功した攻撃者は、FortiGate firewall／FortiProxy Web proxy／FortiSwitch Manager (FSWM) on-premise management instance などの、管理インターフェイスにおける認証プロセスのバイパスが可能になる。

先週の木曜日に Fortinet は、この脆弱性に対処するためのセキュリティ・アップデートをリリースした。また、顧客に対してプライベート通知を送り、影響を受けるデバイスのリモート管理 UI を直ちに無効化するよう促している。

Horizon3.ai のセキュリティ研究者たちは、CVE-2022-40684 の PoC を早急に公開すると発表していた。しかし、同脆弱性の PoC エクスプロイトと技術的な原因の分析結果は、今日になって発表された。

この PoC エクスプロイトは、認証回避の不具合を悪用して、コマンドラインから Python スクリプトを起動する際に、指定したユーザーに対して SSH キーを設定するように設計されている。

Horizon3.ai の開発者である James Horseman は、「この脆弱性を悪用する攻撃者は、脆弱性のあるシステムに対して、ネットワーク設定の変更／新しいユーザーの追加／パケット・キャプチャの開始など、やりたい放題することができる。この脆弱性は、最近に発見された企業向けソフトウェアの脆弱性トレンドである、HTTP ヘッダの不適切な検証や、過度な信頼に起因しているようだ」と説明している。

さらに、Horizon3.ai の過去の分析においては、以下のような方法で、攻撃者がシステムを危険にさらす可能性もあると指摘されている：

• 侵害したシステムに攻撃者がログインするために、管理者ユーザーの SSH キーを変更する。
• 新しいローカル・ユーザーを追加する。
• ネットワーク・コンフィグレーションを更新し、トラフィックを迂回させる。
• システム構成をダウンロードする。
• パケット・キャプチャを開始し、その他の機密システム情報を取得する。

攻撃に積極的に悪用されている

PoC エクスプロイトが公開されたことで、すべての脆弱な FortiOS／FortiProxy／FortiSwitchManager アプライアンスに対して、直ちにパッチを適用する十分な動機が生じた。この脆弱性は、進行中の攻撃において、悪用され続けているのだ。

Fortinet の広報担当者は、金曜日に BleepingComputer が問い合わせた際に、この脆弱性の活発な悪用に関するさ質問に対してコメントを拒否していた。しかし同社は月曜日に、この脆弱性が悪用された攻撃を、少なくとも１件は認識していると発表した。

Fortinet は、「この脆弱性が悪用された事例を認識しており、デバイス・ログ残された侵害指標である user= “Local_Process_Access” を確認し、システムを検証することを推奨する」と述べている。

火曜日に、CISA は CVE-2022-40684 を 、野放し状態での悪用が確認されている脆弱性のリストに追加した。そして、進行中の攻撃を阻止するために、11月1日までに Fortinet デバイスへのパッチ適用を完了するよう、すべての連邦民間行政機関に要求している。

木曜日に、サイバー・セキュリティ企業の GreyNoise も、CVE-2022-40684 を悪用しようとする攻撃者が、野放しになっていることを確認したと発表している。

先週に Fortinet は、「これらのデバイスを適時にアップデートできない場合は、アップグレードを実行できるまで、インターネットに面した HTTPS 管理を直ちに無効化する必要がある」とプライベート通知で顧客に警告している。

サーバーが危険にさらされないようにするために、パッチ適用や脆弱性のあるアプライアンスの無効化をすぐには実行できない場合には、Fortinet がセキュリティ・アドバイザリで共有した緩和策を使用することもできる。

回避策としては、HTTP/HTTPS 管理インターフェイスを無効にするか、ローカル・イン・ポリシーを使用して、管理インターフェイスに到達できる IP アドレスを制限することが挙げられる。

緩和策やパッチを適用する前に、デバイスがすでに侵害されているかどうかを確認したい場合は、デバイス・ログの user=” Local_Process_Access”／user_interface=” Node.js”／user_interface=” Report Runner” でチェックできる。

この、Fortinet における認証バイパスの脆弱性 CVE-2022-40684 については、すでに、10月7日の「Fortinet 警告：FortiGate／FortiProxy に新たな認証バイパスの脆弱性」と、10月10日の「Fortinet の認証バイパスの脆弱性 CVE-2022-40684：野放し状態での悪用を確認」で、状況をお伝えしてきました。そして、ついに、PoC エクスプロイトが登場したわけですが、これが契機になり、パッチ適用が進み、悪用が阻止される良いですね。