ハッカーは、Fortinet FortiWebの最近修正された重大な脆弱性を、概念実証(PoC)エクスプロイトコードが公開されたその日に標的にし始めました。
CVE-2025-25257(CVSSスコア9.6)として追跡されているこの脆弱性は、SQLインジェクションの問題であり、認証されていない攻撃者が細工されたHTTPまたはHTTPSリクエストを介して不正なSQLコードやコマンドを実行できるものと説明されています。
Fortinetは7月8日にこのセキュリティ欠陥の修正パッチを公開し、GMOサイバーセキュリティ byイエラエの河根健太郎氏に報告の功績を認めました。
FortiWebバージョン7.6.4、7.4.8、7.2.11、7.0.11には必要なパッチが含まれており、ユーザーはできるだけ早くアップデートすること、またはパッチ適用が不可能な場合はHTTP/HTTPS管理インターフェースを無効化することが推奨されています。
7月11日、watchTowr Labsはこのバグに関する技術情報を公開し、ユーザー入力のサニタイズが不十分な関数に問題があることを説明しました。
問題を解析した後、研究者らは、サーバーのsite-packagesディレクトリにpython(.pth)ファイルを書き込むことでリモートコード実行(RCE)が可能であることを実証しました。
Fortinetは7月8日時点でこのバグが実際に悪用されているとは言及していませんでしたが、watchTowrのブログ記事とPoCエクスプロイトが公開された直後の7月11日に、最初の悪用試行が観測されました。
The Shadowserver Foundationは木曜日、CVE-2025-25257の悪用によりウェブシェルが設置されたFortiWebインスタンスが35件確認されたと報告しました。この数は、7月14日に確認された85件から減少しています。
広告。スクロールして続きをお読みください。
Censysによると、インターネットからアクセス可能なFortiWebアプライアンスは2万台以上存在しますが、その多くは直接公開されていないようです。これらのうち、どれだけが脆弱であるかは不明であり、Censysはバージョン情報を特定できませんでした。
この脆弱性の悪用が継続していること、そしてFortiWebがネットワーク内で果たす役割(Fortinetエコシステム内のデバイス接続や管理に使用される)を考慮し、ユーザーは早急に導入環境をアップデートすることが推奨されています。
関連記事: Fortinet、Ivantiが高深刻度の脆弱性を修正
関連記事: Fortinet、FortiVoiceアプライアンスに対するゼロデイ攻撃を修正
翻訳元: https://www.securityweek.com/fortinet-fortiweb-flaw-exploited-in-the-wild-after-poc-publication/