どうもお疲れ様です。もしも、御社にこれが入っていたとして、問い合わせる場合は、販売代理店(買ったところ)にお問い合わせくださいね。
プログラムのソースコードに完璧というものがない以上、どうしても、どの会社の製品でも、脆弱性(もろい部分)が生じます。これ、宿命的です。
さて、僕も知らないような外資の会社さんの製品なんですが、フォーティネット。さて、どこのメーカー? と思って、ウィキってみました。なるほど、華僑の方で、ジュニパーネットワークスを創立した人が作った会社、だそうです。もうこの業界から引退した従兄が、一時期、ジュニパーネットワークスの製品も扱っていたので、名前だけは知っている、程度のことです。わたくしごときには。
そして、今回、JPCERT/CC(じぇいぴーさーと・しー・しー)さんが警告しておられるのは、一体どういうことかと申しますと、こういうことです。
- Fortinet製FortiOS、FortiProxyおよびFortiSwitchManagerの認証バイパスの脆弱性(CVE-2022-40684)に関する注意喚起
オーセンティフィケーションのバイパスが起きる、ということは、正規の認証を迂回して、特権昇格みたいなことが起きますよ、よく読んでくださいねー、という注意喚起です。何のこっちゃ(笑)
まあ、管理者権限に似たようなふるまいが、攻撃者の手によって為され、そのまま放置しておくと危ないですよ、という意味だそう。
FortiOSや、デバイス類のファームウェアをアップデートすれば済むだけの話とは違いまして、本番環境ではない場所で充分にテストの上、パッチ当てをしてくださいね、という趣旨のことも書いてあります。
なにぶん、セキュリティゲートウェイといえども、中身はソフトウェアで出来ていますので、開発者さんの間隙を突かれた格好になってしまったわけです。
まあ、どのみち、すごい情報商社さんしか扱わない製品ですので、一般ユーザーにはあまり関係がないことです。そのぶん、法人ユーザーさんが、販売代理店や商社さんと緊密にやり取りの上、アップデートなどの対策をしてくださいね、という趣旨です。
以上です。ではでは。
【追記】つるぎ町立半田病院の件も、どうやらこれのVPN装置の脆弱性じゃないか、といった指摘が日経クロステックさんの記事で為されているようです。
パソコンのお医者さん 人間のすることですから ネットウイングス 代表 田所憲雄 拝
0コメント