出典: Russell Kord / Alamy Stock Photo
リモートコード実行が可能な重大なFortinet FortiWebの脆弱性が実際に悪用されています。
Fortinetは11月14日、Webアプリケーションファイアウォール(WAF)製品FortiWebの脆弱性CVE-2025-64446を公表しました。この脆弱性はFortiWebバージョン8.0.0~8.0.1、7.6.0~7.6.4、7.4.0~7.4.9、7.2.0~7.2.11、7.0.0~7.0.11に影響します。FortinetのPSIRTアドバイザリによると、このバグは相対パストラバーサルの脆弱性であり、「認証されていない攻撃者が細工したHTTPまたはHTTPSリクエストを通じてシステム上で管理コマンドを実行できる可能性があります。」
この脆弱性は、ターゲットの脆弱なFortiWebインスタンスに対して認証前の状態でリモートコード実行が可能であるため、CVE-2025-64446は重大な脆弱性(CVSSスコア9.1)と見なされ、影響を受ける顧客は直ちにパッチを適用する必要があります。FortiWeb 8.0の場合はバージョン8.0.2以上、7.6は7.6.5以上、7.4は7.4.10以上、7.2は7.2.12以上、7.0は7.0.12以上にアップデートしてください。
この脆弱性はまた、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)の既知悪用脆弱性(KEV)カタログにも追加されています。
CVE-2025-64446">CVE-2025-64446 FortiWeb脆弱性の詳細
Picus SecurityのセキュリティリサーチリードであるHuseyin Can Yuceelは、11月17日のブログ投稿で、CVE-2025-64446は「FortiWebのGUI APIハンドラーがURLパスを処理する前に適切な検証やサニタイズを行っていないために存在します」と説明しました。
「攻撃者は、相対パストラバーサルシーケンスを悪用して意図された/api/v2.0/ルーティングパスから抜け出す悪意のあるHTTPリクエストを作成できます」とYuceelは記しています。「パストラバーサルにより特権CGIエンドポイントへのアクセスが可能となり、ヘッダ操作によって認証が完全にバイパスされます。」
一度悪用されると、攻撃者は「新しいアカウントの作成、設定の変更、または他の特権APIコマンドの実行」が可能になります。
顧客はできるだけ早くアップグレードすることが推奨されていますが、すぐにアップグレードできない場合は、Fortinetはインターネットに面したインターフェースでHTTPまたはHTTPSを無効にすることを推奨しています。「HTTP/HTTPS管理インターフェースがベストプラクティスに従い内部からのみアクセス可能な場合、リスクは大幅に低減されます」とPSIRTアドバイザリは述べています。
CVE-2025-64446 Silently Patched?">CVE-2025-64446は密かに修正されたのか?
CVE-2025-64446の経緯は、10月6日にセキュリティ企業DefusedがXへの投稿で、同社のFortiWeb Managerハニーポットで当時未知だった脆弱性を検知したと発表したことに始まると言えるでしょう。Defusedの創設者兼CEOであるSimo Kohonen氏はDark Readingに対し、「POCは我々の検知に基づいて構築されたので、確かに同じ脆弱性です。[攻撃的セキュリティ企業] Code White GMBHと協力してPOCを検証しました」と語っています。
興味深いことに、CVE-2025-64446はFortiWebバージョン8.0.2と同時に公表されず、最初のリリースノートにも言及されていませんでした。Kohonen氏はさらに、エクスプロイトは8.0.1では有効だったが8.0.2では有効でなかったと説明しています。
VulnCheckのCaitlin Condon氏は、11月14日のブログ投稿で、セキュリティ業界の専門家がCVE-2025-64446の公表前から積極的な悪用が行われていると警鐘を鳴らしていたこと、そして密かにパッチが適用されたことを批判しています。
「脆弱性を密かに修正することは、攻撃者を利し、防御側に害を及ぼす悪しき慣行です。特にFortiWebを含む過去に実際に悪用されたデバイスやシステムではなおさらです」と彼女は記しています。「セキュリティの隠蔽は機能しないことはすでに分かっています。攻撃者は新製品リリースを監視し、ベンダーが修正済みの脆弱性について顧客に知らせるかどうかに関係なく、パッチを積極的にリバースエンジニアリングしています。人気のある技術ベンダーが新たなセキュリティ問題を伝えない場合、それは攻撃者への招待状となり、防御側から同じ情報を隠す選択をしているのです。」
また、Watchtowrのようなベンダーが技術ブログで指摘しているように、Fortinetの8.0.2パッチは脆弱性を修正した際に意図せずエクスプロイトを無効化した可能性もあります。Dark Readingは、脆弱性が密かに修正されたという指摘についてFortinetにコメントを求めましたが、記事執筆時点ではベンダーからの回答は得られていません。
