専門家はFortinetの顧客に対し、直ちにパッチを適用するか、影響を受ける管理インターフェースを無効化するよう強く求めています。
サイバーセキュリティ専門家によると、ハッカーはFortinetのFortiWeb Fabric Connectorに存在する重大な脆弱性を積極的に悪用しています。
この脆弱性は CVE-2025-25257 として追跡されており、SQLコマンドで使用される特殊な要素の不適切な無害化に関係しています。この脆弱性が悪用されると、攻撃者は不正なSQLコードやコマンドを実行できるようになり、Fortinetのアドバイザリによれば、細工されたHTTPまたはHTTPSリクエストを介して実行されます。
FortiWeb Fabric Connectorは、FortiWebファイアウォールと他のFortinet製品との間のインターフェースとして機能し、他の製品からの情報をFortiWebに取り込むことで、動的なセキュリティ保護をサポートします。
Shadowserver Foundationによると、約49件のFortinet FortiWebインスタンスが木曜日時点で侵害されていることが検出されました。この数字は、月曜日に検出された85件、火曜日の77件から減少しています。Shadowserverは7月11日以降、積極的な悪用を確認していると述べています。
「Fortinetが公開したアドバイザリはリスクの重大性について明確に述べています。これは、認証不要の重大なSQLインジェクション脆弱性であり、直ちにパッチを適用するか、影響を受けるウェブインターフェースを完全に無効化することで緩和しなければなりません」と、watchTowrのプロアクティブ脅威インテリジェンス責任者であるRyan Dewhurst氏はCybersecurity Diveに語りました。「侵害されたデバイスの急増は、脅威アクターの活動がこれまで以上に迅速になっていることを反映しています。」
watchTowrの研究者は、この脆弱性に関する詳細な調査結果を先週公開しました。Fortinetは、この脆弱性を報告した企業としてGMOサイバーセキュリティを挙げています。
どの脅威アクターがFortiWebを標的としているのか、またその動機は何かは依然として不明です。
Fortinet製品間の接続性を実現する役割から、FortiWeb Fabric Connectorは非常に重要なプログラムと見なされています。Dewhurst氏によると、このコネクタはSSO統合や動的ポリシー適用などの重要な機能を可能にしています。
「Fortinetは公開前に悪用を認識していなかった可能性があり、現在ではこの脆弱性に対するシグネチャや検出方法が作成されたことで、他の組織も脆弱性の悪用を検知しています」と、VulnCheckのセキュリティ研究者Patrick Garrity氏はCybersecurity Diveに語りました。
翻訳元: https://www.cybersecuritydive.com/news/cyberattacks-fortinet-software/753334/