Fortinet FortiWebの重大な脆弱性が悪用されている

研究者らは、Fortinet FortiWebの重大な脆弱性が現在積極的に悪用されていると警告しており、同社が10月下旬にこの脆弱性に対してサイレントパッチを発行したことに批判が集まっている。

この相対パストラバーサルの脆弱性（CVE-2025-64446として追跡）は、特別に細工されたHTTPまたはHTTPSリクエストを使用することで、認証されていない攻撃者がシステム上で管理者コマンドを実行できる可能性がある。この脆弱性の深刻度スコアは9.1である。

金曜日、サイバーセキュリティ・インフラセキュリティ庁（CISA）は、この脆弱性を既知の悪用脆弱性カタログに追加し、同日午後に追加のガイダンスも公開した。

CISAは追加のガイダンスを発表し、直ちにアップグレードできない場合はインターネットに面したインターフェースのHTTPまたはHTTPSを無効にするようセキュリティチームに警告した。また、セキュリティチームは不正な管理者アカウントが作成された証拠がないかログを確認すべきである。

CISAは、確認されたインシデントや異常な活動があれば、オペレーションセンターに報告するようセキュリティチームに求めている。

複数の研究者によると、パッチが適用されたバージョン8.0.2は10月28日にリリースされたが、同社が公式なガイダンスやCVEを公開したのは直近の金曜日だった。

この脆弱性は「攻撃者が特権ユーザーとして操作を実行できる」とwatchTowrの創設者兼CEOであるベンジャミン・ハリス氏はCybersecurity Diveに語った。悪用活動は「新しい管理者アカウントを追加するという基本的な永続化メカニズム」に集中しているとハリス氏は付け加えた。

Shadowserverの研究者は、世界中で数百件のケースを確認しているが、現時点で脆弱なインスタンスの明確な全体像を把握できていない。これは、安全かつ非侵襲的な方法で正確な推定ができないためである。

Defusedという企業が10月6日に概念実証（PoC）を公開し、このエクスプロイトがCVE-2022-40684の亜種である可能性を警告した。

Fortinetは金曜日、この脆弱性を認識していると認め、活動を把握した時点ですぐにPSIRTによる修正と対応を開始したと述べた。

「Fortinetは、お客様のセキュリティへの責任と責任ある透明性の文化の両立に真摯に取り組んでいます」とFortinetの広報担当者はCybersecurity Diveに語った。「この目標と原則を最優先に、影響を受けるお客様に直接連絡し、必要な推奨対応策について助言しています。」

同社は、サイレントパッチに関する研究者の懸念について具体的に質問された際には回答しなかった。

VulnCheckのセキュリティリサーチ担当副社長であるケイトリン・コンドン氏は、FortinetはCVEナンバリング機関であるが、以前からサイレントパッチを発行してきた経緯があり、この慣行はセキュリティコミュニティに大きな混乱をもたらし、攻撃者に有利になる可能性があると指摘した。

「残念ながら、FortinetはCVEや公開アドバイザリを発表する前にセキュリティ脆弱性をサイレントパッチで修正した実績があり、」とコンドン氏は述べ、「脆弱性が公に発表される前から悪用が始まっていた複数のケースも含まれている。」