業務用情報セキュリティ機器(Fortinet フォーティネット社)製品の一部に脆弱性があります(JPCERT/CC/NetwingsJ)

どうもお疲れ様です。もしも、御社にこれが入っていたとして、問い合わせる場合は、販売代理店(買ったところ)にお問い合わせくださいね。

プログラムのソースコードに完璧というものがない以上、どうしても、どの会社の製品でも、脆弱性(もろい部分)が生じます。これ、宿命的です。

さて、僕も知らないような外資の会社さんの製品なんですが、フォーティネット。さて、どこのメーカー? と思って、ウィキってみました。なるほど、華僑の方で、ジュニパーネットワークスを創立した人が作った会社、だそうです。もうこの業界から引退した従兄が、一時期、ジュニパーネットワークスの製品も扱っていたので、名前だけは知っている、程度のことです。わたくしごときには。

そして、今回、JPCERT/CC(じぇいぴーさーと・しー・しー)さんが警告しておられるのは、一体どういうことかと申しますと、こういうことです。

  • Fortinet製FortiOS、FortiProxyおよびFortiSwitchManagerの認証バイパスの脆弱性(CVE-2022-40684)に関する注意喚起

オーセンティフィケーションのバイパスが起きる、ということは、正規の認証を迂回して、特権昇格みたいなことが起きますよ、よく読んでくださいねー、という注意喚起です。何のこっちゃ(笑)

まあ、管理者権限に似たようなふるまいが、攻撃者の手によって為され、そのまま放置しておくと危ないですよ、という意味だそう。

FortiOSや、デバイス類のファームウェアをアップデートすれば済むだけの話とは違いまして、本番環境ではない場所で充分にテストの上、パッチ当てをしてくださいね、という趣旨のことも書いてあります。

なにぶん、セキュリティゲートウェイといえども、中身はソフトウェアで出来ていますので、開発者さんの間隙を突かれた格好になってしまったわけです。

まあ、どのみち、すごい情報商社さんしか扱わない製品ですので、一般ユーザーにはあまり関係がないことです。そのぶん、法人ユーザーさんが、販売代理店や商社さんと緊密にやり取りの上、アップデートなどの対策をしてくださいね、という趣旨です。

以上です。ではでは。

【追記】つるぎ町立半田病院の件も、どうやらこれのVPN装置の脆弱性じゃないか、といった指摘が日経クロステックさんの記事で為されているようです。

パソコンのお医者さん 人間のすることですから ネットウイングス 代表 田所憲雄 拝

ネットウイングス

どうも(・∀・)ノ 兵庫県尼崎市のネットウイングスです。パソコンのお医者さんとして、「インターネットで愉しむ」と同時に「情報技術者同士の緩やかな連帯感の醸成」にもこだわっています。

このページに掲載された記事の名称や内容は、各社の商標または登録商標です。意匠権も同様です。また、ページ内でご紹介している記事、ソフトウェア、バージョン、URL等は、各ページの発行時点のものであり、その後、古くなったり、変更されている場合があります。