認証バイパスとリモートコマンド実行

FortiOSに対して新しいパッチがリリースされています。
FortiOSはフォーティネット製品用に実装されているOSです。
この中に含まれるSSL-VPN機能を提供する機構に関しての修正です。

2022年10月10日にFG-IR-22-377というアドバイザリがリリースされました。
このアドバイザリではFortiOSに認証バイパスの脆弱性があることが示されていました。
認証されていない攻撃者が特別に細工されたHTTPまたはHTTPSリクエストを介して管理インターフェイスで操作を実行できる可能性があるというものです。
CVSSv3ベーススコアは9.6でした。
CVSSv3ベーススコアは最大が10.0です。
つまり最高に近い重大度の内容とされています。
悪用事例として、認証バイパスして接続した通信のなかで管理権限のあるアカウントを作成しているケースが観測されています。
メーカーは緊急での更新を呼びかけ、これにパッチを適用すれば問題は収束するはずのものでした。

その2か月後です。
2022年12月12日にFG-IR-22-398というアドバイザリがリリースされました。
このアドバイザリではFortiOSに含まれるSSL-VPNデーモンにヒープベースのバッファオーバーフローの脆弱性があることが示されていました。
認証されていないリモートの攻撃者が特別に細工されたリクエストを介して任意のコードまたはコマンドを実行できる可能性があるというものです。
こちらのCVSSv3ベーススコアは9.3でした。
やはりこちらも最高に近い重大度の内容とされています。
こちらの脆弱性も実際の悪用事例が観測されています。

いろいろな製品があり、それらに対して日々いろいろな修正パッチがリリースされます。
利用者の立場としてはそれらを入手し適用していきます。
もちろん適用することはよいことです。
ですがこの例のように短い期間で次々に重大度の高い問題が修正されていくこともありますので、今日パッチを適用したからしばらく大丈夫だろうなどと安心してしまえるものではなさそうです。
日々あるべき状態に保つことが重要ということに思えます。

参考記事（外部リンク）：FortiOS – heap-based buffer overflow in sslvpnd
www.fortiguard.com/psirt/FG-IR-22-398

参考記事（外部リンク）：FortiOS / FortiProxy / FortiSwitchManager – Authentication
bypass on administrative interface
www.fortiguard.com/psirt/FG-IR-22-377