Fortinet FortiNAC/FortiWeb の深刻な脆弱性が FIX:緩和策や回避策は存在しない

Fortinet fixes critical RCE flaws in FortiNAC and FortiWeb

2023/02/17 BleepingComputer — Fortinet の FortiNAC/FortiWeb に対するセキュリティ・アップデートが公開された。そこで対処された2つの深刻な脆弱性は、認証されていない攻撃者による任意のコード/コマンド実行にいたる可能性のあるものだ。1つ目は、FortiNAC に影響を及ぼす脆弱性 CVE-2022-39952 であり、CVSS 値は 9.8 (Critical) である。FortiNAC は、ネットワーク・アクセス制御ソリューションであり、リアルタイムでのネットワークの可視化/セキュリティ・ポリシーの適用/脅威の検知と緩和を支援するものだ。


同社のセキュリティ・アドバイザリには「FortiNAC Web サーバに存在するファイル名/パスに対する外部制御の脆弱性 [CWE-73] により、認証されていない攻撃者に対して、システム上で任意の書き込みを許す可能性がある」と記されている。この脆弱性 CVE-2022-39952 は、FortiNAC 9.4.1/9.2.6/9.1.8/7.2.0 以降で修正されている。

この脆弱性の影響を受ける製品は、以下の通りである。

  • FortiNAC version 9.4.0
  • FortiNAC version 9.2.0 through 9.2.5
  • FortiNAC version 9.1.0 through 9.1.7
  • FortiNAC 8.8 all versions
  • FortiNAC 8.7 all versions
  • FortiNAC 8.6 all versions
  • FortiNAC 8.5 all versions
  • FortiNAC 8.3 all versions

2つ目の FortiWeb に影響を与える脆弱性 CVE-2021-42756 の CVSS 値も 9.3 (Critical) である。

FortiWeb は Web Application Firewall (WAF) ソリューションであり、クロス・サイト・スクリプティング (XXS)/SQL インジェクション/ボット攻撃/DDoS (分散型サービス拒否) などのオンラインの脅威から、Web アプリや API を保護するために設計されている。

同社のアドバイザリには、「FortiWeb のプロキシ・デーモンには、複数のスタック・バッファ・オーバーフローの脆弱性 [CWE-121] が存在し、特別に細工された HTTP リクエストを送信する、認証されていないリモート攻撃者に対して、任意のコード実行を許す可能性がある」と記されている。この不具合に対処するためには、FortiWeb 7.0.0/6.3.17/6.2.7/6.1.3/6.0.8 以降へのアップグレードが必要となる。

脆弱性 CVE-2021-42756 は、以下のバージョンに影響する。

  • FortiWeb versions 5.x all versions
  • FortiWeb versions 6.0.7 and below
  • FortiWeb versions 6.1.2 and below
  • FortiWeb versions 6.2.6 and below
  • FortiWeb versions 6.3.16 and below
  • FortiWeb versions 6.4 all versions

不思議なことに、この CVE ID によると、2021年に発見された脆弱性だと示されているが、これまでには公表されていなかった。

いずれの欠陥に対しても、Fortinet からは緩和策や回避策のアドバイスが提供されていないため、上記のセキュリティ・アップデートの適用が、リスクに対処する唯一の方法となる。

Fortinet の脆弱性 CVE-2022-39952/CVE-2021-42756 ですが、お隣のキュレーション・チームに聞いてみたら、2月21日付で報告済みとのことでした。やはり、2つ目の脆弱性が [2021] であることに、不思議がっていました。Fortinet に関する、最近の記事は、以下のとおりです。

2023/01/04:FortiADC/FortiTester 深刻な脆弱性が FIX
2022/12/13:Fortinet FortiOS に緊急パッチ:認証バイパス
2022/11/29:Fortinet の脆弱性:アクセスを販売する IAB が登場?
2022/11/03:Fortinet の深刻な脆弱性:XSS 攻撃の可能性
2022/10/13:Fortinet の脆弱性に PoC エクスプロイト