連邦当局と研究者は金曜日、FortinetのWebアプリケーションファイアウォールにおける大規模に悪用されている脆弱性について組織に警告を発しました。
積極的に悪用されている重大な欠陥がFortinetの顧客に重大なリスクをもたらす一方で、研究者たちは特にベンダーによる遅れたコミュニケーションと、最終的には脆弱性に関する事後警告に苛立ちを感じています。
Fortinetは10月28日にソフトウェアアップデートでCVE-2025-64446に対応しましたが、欠陥にCVEを割り当てたり、その存在を公に開示したのは先週になってからでした――つまり17日後――同時に同社はこの脆弱性が実際に悪用されていることも確認しました。
その時点で、特にFortiWeb 8.0.2にアップデートしていなかった一部のFortinet顧客にとっては、すでに手遅れでした。CVSSスコア9.8のFortiWebのパストラバーサル脆弱性は、攻撃者が管理者コマンドを実行し、侵害されたデバイスを完全に乗っ取ることを可能にします。
複数の企業の脅威研究者、コンピュータ緊急対応チーム、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が警告を発し、中にはこの欠陥に関連する大規模攻撃の詳細を含むものもありました。CISAも警告を発表し、この脆弱性を既知の悪用脆弱性カタログに追加、連邦機関に対して7日という短期間での対応を義務付けました。
Fortinetの広報担当者は、同社の製品セキュリティインシデント対応チームが欠陥を認識した時点ですぐに対応を開始し、その取り組みは現在も継続中だと述べました。「Fortinetは、お客様のセキュリティへのコミットメントと責任ある透明性の文化のバランスを慎重に取っています」と広報担当者は声明で述べました。
「この目標と原則を最優先に、影響を受けたお客様に直接連絡し、必要な推奨対応について助言しています」と広報担当者は付け加えました。
Defusedの脅威研究者が最初にこの脆弱性を発見し、10月6日に検出した概念実証エクスプロイトを公開しました。watchTowrの研究者はエクスプロイトの技術分析を公開し、組織が自社環境内の潜在的な脆弱ホストを特定するためのツールもリリースしました。
「証拠によれば、攻撃は少なくとも10月初旬から広範かつ無差別に行われており、業界が警鐘を鳴らす前、そしてFortinetの沈黙によって事態が悪化した可能性もあります」とwatchTowrの創設者兼CEOであるBen Harris氏はCyberScoopに語りました。
研究者たちはまだ被害者を特定したり名前を挙げたりしていませんが、攻撃者はこの脆弱性を利用して新たな管理者アカウントを追加し、侵害されたデバイス上で永続的な特権アクセスを得ている可能性が高いです。脅威ハンターは、攻撃を特定のサイバー犯罪組織や出所、動機に結びつけてはいません。
「Fortinetがこの脆弱性を静かに修正したこと――意図的かどうかに関わらず――により、多くのユーザーが実際に脆弱性を修正するパッチを適用しなかった可能性があります」とHarris氏は述べました。「FortiWebの顧客は、これらのパッチを適用しないことによる重大かつ即時のリスクについて知らされていませんでした。もし知っていれば、すぐにアップデートしていたでしょう。今、パッチを適用しなかった人はおそらく侵害されています。」
情報の空白が研究者を混乱させた
この脆弱性は定義上グレーゾーンに該当します――あまり重要でない詳細ですが、第三者研究者が適切かつ十分な対応を取る上で直面した困難を浮き彫りにしています。
「Fortinetが今や偶然に脆弱性を修正しているのでなければ、定義上これはゼロデイではなく、静かに修正された脆弱性、すなわちnデイです」とHarris氏は述べました。
しかし、防御側の観点からは、この脆弱性は実質的にゼロデイのように機能していたとRapid7のセキュリティ研究者Ryan Emmons氏は述べています。「顧客が正式な認識やガイダンス、パッチ情報を得る前に悪用されていました。」
FortinetのFortiWeb 8.0.2のリリースノートには、特定の脆弱性に関する記載はありません。
「課題は、セキュリティコミュニティがパブリックアドバイザリ、CVE割り当て、挙動の説明、明確な修正手順といった共有シグナルを通じて理解を深めていくことです。これらのシグナルが遅れたり断片的だったりすると、研究者やベンダー、防御側が実際に何が起きているのかを特定する能力が低下します」とEmmons氏は述べました。
「攻撃者はしばしば先手を取る優位性があり、防御側はベンダーの透明性や業界の協調に大きく依存しています」とEmmons氏は付け加えました。「ベンダーが製品の欠陥を認識し、パッチが公開された場合、防御側にはできるだけ多くの実用的な情報を含んだ事前通知が不可欠です。不透明さは攻撃者を妨げる以上に防御側を傷つけます。」
研究者たちは、脆弱性の公表を遅らせ、実際に悪用が始まるまで緊急性を示さなかったFortinetを一斉に批判しました。
Fortinetによる遅れたCVE割り当ても防御側の問題を悪化させました。「暗闇の中では情報が乏しく、遅延が本質的に発生し、防御側は何が起きているのかを把握しようと無駄な時間を費やすことになります」とEmmons氏は述べました。「これにより攻撃者ははるかに有利な立場を得ます。」
セキュリティチームはすでに脆弱性パッチで手一杯です。すべての欠陥やソフトウェアアップデートに即座に対応するのは現実的でないだけでなく、運用上の影響リスクも考慮しなければなりません。パッチが重要なプロセスや統合を壊すこともあります。
「多くの組織は標準的な変更管理プロセスに従い、パッチ適用を当然のように遅らせていました。その一方で、Fortinet自身も問題の重大性を完全には認識しておらず、リスクを理解しないまま静かに欠陥を修正した可能性もあります」とHarris氏は述べました。「この組み合わせが、最初から防御側を不利な状況に追い込みました。」
翻訳元: https://cyberscoop.com/fortinet-delayed-disclosure-exploited-vulnerability/
