- CVE-2025-64446は、認証されていない攻撃者がFortiWeb WAFシステムで管理者コマンドを実行できる脆弱性です
- 実際に悪用されており、バージョン7.0.0~8.0.1が影響、8.0.2で修正済み
- CISAがKEVに追加、Fortinetは即時のパッチ適用またはインターネットに公開されたHTTP/HTTPSインターフェースの無効化を推奨
Fortinetは、FortiWebウェブアプリケーションファイアウォール(WAF)に存在する重大な脆弱性に対する修正をリリースし、この脆弱性が実際に悪用されていることから、顧客に対して直ちにアップデートするよう強く呼びかけています。
同社は新たなセキュリティアドバイザリを公開し、認証されていない脅威アクターがシステム上で管理者コマンドを実行できる相対パストラバーサルの脆弱性に対処したと発表しました。
このバグは現在CVE-2025-64446として追跡されており、深刻度スコアは9.8/10と評価されているため、非常に重大で迅速な対応が必要です。
ゼロデイの悪用
このバグはWAFの複数のバージョンに影響します:
8.0.0~8.0.1、
7.6.0~7.6.4、
7.4.0~7.4.9、
7.2.0~7.2.11、
7.0.0~7.0.11
バージョン8.0.2で修正されたことがセキュリティ研究者により確認されています。
Fortinetは、このバグが「実際に悪用されている」と述べ、ためらうことなく修正を適用するよう呼びかけています。
実際、複数のセキュリティ企業が数週間前からこの脆弱性について警告していました。2025年10月初旬、Defusedのセキュリティ研究者が「未知のFortinetエクスプロイト」の概念実証(PoC)を公開し、その後watchTowr Labsがデモエクスプロイトを発表しました。
すぐに修正を適用できない場合は、インターネットに公開されているインターフェースのHTTPまたはHTTPSを無効にするようFortinetは推奨しています。「HTTP/HTTPS管理インターフェースがベストプラクティス通り内部からのみアクセス可能であれば、リスクは大幅に低減されます。」また、パッチ適用後は設定内容とログを確認し、予期しない変更や新たな管理者アカウントの追加がないかを確認してください。
このバグはCISAの既知悪用脆弱性(KEV)カタログにも追加されており、連邦機関は11月21日までにパッチを適用するか、FortinetのWAFの使用を停止する必要があります。
「この種の脆弱性は悪意あるサイバー攻撃者による頻繁な攻撃経路であり、連邦機関にとって重大なリスクとなります」とCISAは警告しています。
