Fortinetは、FortiOSおよびFortiSwitchManagerにおける脆弱性を公開しました。この脆弱性により、リモートの攻撃者が認証なしで影響を受けるシステム上で任意のコードまたはコマンドを実行できる可能性があります。
Fortinetのファイアウォール、SASE、スイッチ管理ツールを利用している組織では、露出したファブリックインターフェースによってサービスがネットワーク越しに到達可能になっている環境で、リスクが最も高くなります。
この脆弱性は「…特別に細工されたリクエストを介して、リモートの未認証攻撃者が任意のコードまたはコマンドを実行できる可能性がある」と、Fortinetはアドバイザリで述べています。
FortinetのRCE脆弱性の詳細
Fortinetはこの問題を、特定のネットワーク通信の処理に関与するサービスであるcw_acdデーモンにおけるヒープベースのバッファオーバーフローとして分類しました。
ヒープベースのバッファオーバーフローは、プログラムがメモリを不適切に管理し、割り当てられたバッファの境界を超えてデータを書き込むことで発生します。これにより攻撃者がメモリを破壊し、任意のコードを実行できる可能性があります。
このケースでは、ネットワーク経由で特別に細工されたリクエストを送信することで脆弱性をトリガーできるため、影響を受けるサービスが信頼できないインターフェースやインターネットに面したインターフェースから到達可能な環境では特に危険です。
この欠陥がとりわけ懸念されるのは、リモートから悪用可能であり、認証を必要としない点です。
この組み合わせにより攻撃のハードルが下がり、機会的な悪用が起こる可能性が高まります。
悪用に成功した場合、攻撃者は影響を受けるデバイス上でコマンドを実行できる可能性があります。これにより、設定の改ざん、トラフィックの傍受、または永続化メカニズムの展開が可能になる恐れがあります。
管理ネットワークが分離されておらず、セグメンテーション制御が弱い場合、リスクはさらに高まります。
Fortinetは、公開時点でアクティブな悪用の証拠はないと報告しました。
FortinetのRCE欠陥を緩和する方法
このFortinetの欠陥はリモートから悪用可能で認証も不要であるため、組織は修正を優先し、可能な限り迅速に露出を減らすべきです。
修正済みリリースへのアップグレードが最も重要な手順ですが、公開後はスキャン活動が増加すると想定すべきです。
それまでの間、脆弱なサービスへのアクセスを制限し、管理プレーンの制御を強化することでリスクを低減できます。
- Fortinetが修正したリリースへアップグレード(FortiOS 7.6.4+/7.4.9+/7.2.12+/7.0.18+/6.4.17+、FortiSwitchManager 7.2.7+/7.0.6+、および修正済みのFortiSASEバージョン)。
- すべての本番環境、HA、ラボ、エッジの各展開において、FortiSwitchManagerで管理されるデバイスを含め、パッチが適用されていることを確認する。
- ファブリックアクセスを無効化し、露出したインターフェース上の不要なallowaccessサービスを削除して、攻撃対象領域を縮小する。
- ローカルインポリシーでUDP 5246–5249をブロックし、信頼できる送信元IPのみを許可することで、CAPWAP-CONTROLの露出を制限する。
- 管理ネットワークを分離して管理プレーンを強化し、VPN/ZTNAまたはジャンプホスト経由のアクセスを強制し、最小権限の管理者制御を適用する。
- cw_acdの異常や設定変更を監視し、適切なバックアップを維持し、インシデント対応計画をテストすることで、検知と復旧の準備態勢を改善する。
これらの手順は、露出を減らし、監視を強化し、Fortinetデバイスが侵害された場合の影響を限定するのに役立ちます。
公開情報は急速なスキャンを引き起こすことが多い
この脆弱性は、エッジインフラや管理プレーンサービスが依然として高価値の標的であることを改めて示しています。特に、欠陥がリモートから到達可能で、認証を必要としない場合はなおさらです。
悪用が確認されていない場合でも、公開アドバイザリは急速なスキャンや攻撃の試行を引き起こすことが多いため、組織はアップグレードと露出低減を優先事項として扱うべきです。
まさにこの理由から、ゼロトラスト戦略(最小権限と検証済みアクセスに基づく)は、重要インフラを保護するうえでますます不可欠になっています。
