この度、フォーティネット社より、Windows版FortiClientに係る脆弱性(CVE-2022-40682,CVE-2022-42470,CVE-2022-43946)に関する案内が公開されましたので、以下の通りご連絡いたします。
1.概要
(CVE-2022-40682)
Windows版FortiClientの不適切な認証[CWE-863]の脆弱性により、ローカルの権限の低い攻撃者がデバイスのファイルシステムで任意のファイルを作成できる可能性があります。
(CVE-2022-42470)
Windows版FortiClientの相対パストラバーサル[CWE-23]脆弱性により、ローカルの権限の低い攻撃者がデバイスファイルシステムで任意のファイル作成を実行できる可能性があります。
(CVE-2022-43946)
Windows版FortiClientの重要なリソースに対する不正な権限割り当ての脆弱性[CWE-732]、使用時間チェックの競合状態[CWE-367]など複数の脆弱性により、同一ファイル共有ネットワーク上の攻撃者がWindowsパイプにデータを書き込んでコマンドを実行できる可能性があります。
2.対象製品、およびバージョン。
FortiClient(Windows版) v6.0.0 - v6.0.10
FortiClient(Windows版) v6.2.0 - v6.2.9
FortiClient(Windows版) v6.4.0 - v6.4.10※(CVE-2022-40682)のみv6.4.9まで
FortiClient(Windows版) v7.0.0 - v7.0.7
3.回避策
本脆弱性に対する回避策は公開されておりません。
4.恒久対策
以下の脆弱性改修済みのバージョンへのアップデートを実施ください。
FortiClient(Windows版) v7.0.8以降
FortiClient(Windows版) v7.2.0以降
5.その他特記事項
本脆弱性の詳細や最新情報については、下記のフォーティネット社ページをご参照ください。
PSIRT Advisories------------------------------------------------
(CVE-2022-40682)
FortiClient (Windows) - Arbitrary file creation from unprivileged users due to process impersonation
https://www.fortiguard.com/psirt/FG-IR-22-336
(CVE-2022-42470)
FortiClientWindows - Arbitrary file creation by unprivileged users
https://www.fortiguard.com/psirt/FG-IR-22-320
(CVE-2022-43946)
FortiClient (Windows) - Improper write access over FortiClient pipe object
https://www.fortiguard.com/psirt/FG-IR-22-429
---------------------------------------------------------------