Fortinetは金曜日、リモートの認証されていない攻撃者がWebアプリケーションファイアウォール機器に管理者権限でアクセスできるFortiWebの脆弱性が悪用されていると警告しました。
CVE-2025-64446(CVSSスコア9.1)として追跡されているこのバグは、細工されたHTTPまたはHTTPSリクエストを介してシステム上で管理コマンドを実行できる相対パストラバーサルの問題と説明されています。
「Fortinetはこの脆弱性が実際に悪用されていることを確認しています」と同社はアドバイザリで述べており、攻撃の詳細は明らかにしていません。
この脆弱性は、FortiWebバージョン8.0.0から8.0.1、7.6.0から7.6.4、7.4.0から7.4.9、7.2.0から7.2.11、7.0.0から7.0.11に影響します。脆弱性はFortiWebバージョン8.0.2、7.6.5、7.4.10、7.2.12、および7.0.12で修正されています。
金曜日、米国サイバーセキュリティ庁(CISA)はCVE-2025-64446を既知の悪用脆弱性(KEV)カタログに追加し、連邦機関に対して1週間以内の対応を促しました。
運用指令(BOD)22-01により、連邦機関はKEVリストに新たに追加された脆弱性を3週間以内に解決することが求められています。今回の新たなバグに対する短いパッチ適用期間は、その重要性を強調しています。
しかし、FortinetとCISAの警告はやや遅れて出されました。木曜日には、複数のセキュリティ企業がFortiWebバージョン8.0.1以前の機器に存在する脆弱性の実際の悪用について警告していました。
WatchTowrは攻撃が世界中のFortiWeb機器を無差別に標的にしていると指摘し、PwnDefendやRapid7は、Defusedが10月6日に観測したエクスプロイトに攻撃が関連していると述べています。Defusedはこのエクスプロイトに基づく概念実証(PoC)コードを公開しています。
PwnDefendとRapid7の両者は、エクスプロイトにより攻撃者が脆弱なデバイス上で管理者アカウントを作成できると指摘しています。11月6日、Rapid7は脅威アクターがダークウェブフォーラムでFortiWebを標的としたゼロデイエクスプロイトとされるものを提供しているのを観測しましたが、実際に悪用されたゼロデイとの関連は確認できませんでした。
watchTowrの技術的な解説によると、CVE-2025-64446はパストラバーサルと認証バイパスという2つの脆弱性で構成されています。攻撃者は管理者アカウントを作成することで、標的機器を完全に侵害できます。
FortinetはFortiWeb 8.0.2のリリースノートでこのセキュリティ欠陥に言及していませんが、watchTowrは、10月に実際の悪用を認識した後、密かにパッチを適用した可能性が高いと指摘しています。
SecurityWeekの問い合わせに対し、Fortinetは観測された攻撃や脆弱性の悪用をいつ認識したかについての詳細を共有しませんでした。
「この脆弱性を認識しており、本件を把握次第、PSIRTの対応および修正作業を開始しました。これらの対応は現在も継続中です」とFortinetの広報担当者は述べています。
「影響を受けるお客様には、必要な推奨対応について直接ご案内しています。お客様にはアドバイザリを参照し、FG-IR-25-910で提供されているガイダンスに従うよう強く推奨します」と広報担当者は続けました。
アドバイザリでは、Fortinetは顧客に対し、パッチが適用されたFortiWebバージョンにアップグレードするまで、インターネットからアクセス可能なインターフェースのHTTP/HTTPSを無効にすることを推奨しています。
アップグレード後は、予期しない変更、たとえば不正な管理者アカウントの存在などについて、設定やログを確認する必要があります。
