FortiOS、FortiProxy及びFortiSwitchManagerの管理画面の認証がバイパスされる脆弱性、外部公開されているサーバ台数を計測 | ScanNetSecurity
2024.05.24(金)

FortiOS、FortiProxy及びFortiSwitchManagerの管理画面の認証がバイパスされる脆弱性、外部公開されているサーバ台数を計測

 株式会社マクニカは10月14日、Fortinet社製品の管理画面の認証をバイパスする脆弱性CVE-2022-40684に関連した調査を同者セキュリティ研究センターブログで発表した。Shodanで観測できる情報も踏まえ、情報や注意点等をまとめている。

脆弱性と脅威 セキュリティホール・脆弱性
管理者用ログイン画面がインターネットに公開されているサーバ台数(Shodanによる調査結果)
管理者用ログイン画面がインターネットに公開されているサーバ台数(Shodanによる調査結果) 全 1 枚 拡大写真

 株式会社マクニカは10月14日、Fortinet社製品の管理画面の認証をバイパスする脆弱性CVE-2022-40684に関連した調査を同者セキュリティ研究センターブログで発表した。Shodanで観測できる情報も踏まえ、情報や注意点等をまとめている。

 Fortinet社のFortiOS、FortiProxy及びFortiSwitchManagerの管理画面の認証がバイパスされる脆弱性(CVE-2022-40684)は、悪用した攻撃を受けた場合、サーバの設定変更やユーザ追加等、機器に対して様々な操作が行われ、攻撃者が組織内へ侵入するポイントになりうる可能性がある。

 本脆弱性は実際の攻撃での悪用が観測され、脆弱性を悪用するための手法やPoCも公開され、さらには脆弱性を悪用するための活動も急速に増加し始めているとの報告もある。

 同ブログでは、Fortinet社のNW機器の管理者用ログイン画面をインターネットに公開しているサーバの台数をShodanで調査したところ、2022年10月13日時点でグローバルで196,668台、日本国内で8,161台が確認でき、いつどこから攻撃を受けてもおかしくない状況と指摘し、自社だけではなく関連会社や海外拠点についても対策することを強く推奨している。

 今回の脆弱性のAttack Surface/攻撃対象面ではないが、ユーザ向けログイン画面も含めてFortinet製品の外部公開台数をカウントしたところ、グローバルで656,720台、日本国内で31,162台が確認でき、Fortinet製品の3台に1台は管理画面を外部に公開している計算になるとしている。

《高橋 潤哉》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 攻撃者のあの手この手、リアルな攻撃&リアルな現状を知る専門家が警鐘を鳴らす ~ JPAAWG 6th General Meeting レポート

    攻撃者のあの手この手、リアルな攻撃&リアルな現状を知る専門家が警鐘を鳴らす ~ JPAAWG 6th General Meeting レポート

  2. Log4Shell のような経験はもう二度としない ~ SSVC が搭載された FutureVuls を活用し、現実的な脆弱性管理を実現 [株式会社マイナビ]

    Log4Shell のような経験はもう二度としない ~ SSVC が搭載された FutureVuls を活用し、現実的な脆弱性管理を実現 [株式会社マイナビ]PR

  3. バイナリファイルからSBOMを作成し脆弱性情報と照合「SBOMスキャナ」発売

    バイナリファイルからSBOMを作成し脆弱性情報と照合「SBOMスキャナ」発売

  4. 今日もどこかで情報漏えい 第24回「2024年4月の情報漏えい」虎屋? ヨックモック? 千疋屋? ~「手土産」は個人情報

    今日もどこかで情報漏えい 第24回「2024年4月の情報漏えい」虎屋? ヨックモック? 千疋屋? ~「手土産」は個人情報

  5. ジョイフル本田「THE GLOBE・OLD FRIEND オンラインショップ」に不正アクセス、3,958 件のカード情報漏えいの可能性

    ジョイフル本田「THE GLOBE・OLD FRIEND オンラインショップ」に不正アクセス、3,958 件のカード情報漏えいの可能性

  6. アメリカでは「祖父母詐欺」

    アメリカでは「祖父母詐欺」

  7. サポート詐欺で発覚 ~ 産婦人科医師が不適切な状態で患者データ保管

    サポート詐欺で発覚 ~ 産婦人科医師が不適切な状態で患者データ保管

  8. ペットフード取り扱いバイオフィリアに不正アクセス、顧客の個人情報が外部にダウンロード

    ペットフード取り扱いバイオフィリアに不正アクセス、顧客の個人情報が外部にダウンロード

  9. 実践的サイバー防御演習「CYDER」の 2024年度 申込受付開始、「プレCYDER」の受講対象者を拡大

    実践的サイバー防御演習「CYDER」の 2024年度 申込受付開始、「プレCYDER」の受講対象者を拡大

  10. 求人情報サイト「バイトル」へ不正ログイン、新たにアローズコーポレーションでも判明

    求人情報サイト「バイトル」へ不正ログイン、新たにアローズコーポレーションでも判明

ランキングをもっと見る