2022.12.13 FortiGateの脆弱性について
2022年12月13日公開された FortiGate の脆弱性について、
対応方法などを確認しました。
FortiOSのSSL-VPN機能におけるヒープベースの
バッファーオーバーフローの脆弱性
(CVE-2022-42475)
フォーティネットは2022年12月12日(米国時間)、FortiOSのSSL-VPN機能に存在する脆弱性を公表しました。ここでは、FortiGate(FortiOS)のSSL-VPNに対するCriticalの脆弱性(CVE-2022-42475)について、アドバイザリーに基づいたご案内をいたします。
概要
FortiOSのSSL-VPN機能にヒープバッファオーバーフローの脆弱性があり、リモートの未認証の攻撃者が、任意のコードやコマンドを実行できる可能性があります。フォーティネットでは、本脆弱性が悪用された攻撃の発生を認識しており、アドバイザリーをご参照の上、システムを直ちに検証することを推奨します。
対処方法
1. 脆弱性の暫定的な回避策
SSL-VPN機能を無効にしてください。
2. 脆弱性の解消
製品に応じて最新バージョンへのアップグレードをしてください。
想定される現場での対応の流れ
以下の流れになると思われます。
暫定的回避策を、なるべく早急に実施する
影響の有無を確認する
最新バージョンを適用する
「1.暫定的回避策」は、業務影響などを加味した上で、実施可否を判断する。「2.影響有無の確認」で痕跡が見つかった場合、その痕跡を元に影響調査を行う。「1.暫定回避策」と、「3.最新バージョン適用」を行うことで、影響の発現や拡大を抑止します。
追記
順番は現場によって変わるので、一概に正解はないです。余力があれば2番と3番を同時に進行させて、基本、最新バージョン適用に向けて説得します。最新バージョンに上げるリスクも可能な限り調べます。既に影響があるか否かの確認を後回しにはし辛いですね。業務停止せざるを得ないかどうかを判断するための指標にもなりますし。
影響がでているかの判断について
アドバイザリに、3つの確認項目が記載されています。
Multiple log entries with:
Presence of the following artifacts in the filesystem:
Connections to suspicious IP addresses from the FortiGate:
https://www.fortiguard.com/psirt/FG-IR-22-398
以下、JPCERT/CC による解説です。
Fortinetは、本脆弱性を悪用する攻撃を確認しており、対策の適用に加えて、脆弱性を悪用する攻撃の被害を受けていないか確認するため、次のような調査の実施を推奨しています。
- 機器ログに脆弱性の悪用を示すログが記録されていないか
- 機器に不審なファイルが設置されていないか
- 機器から不審な通信先への通信が発生していないか