Fortinetの問題が続く、また新たなWAFゼロデイ脆弱性

出典：JHVEPhoto / Alamy Stock Photo

Fortinetは火曜日、FortiWeb製品ラインにおける2つ目のゼロデイ脆弱性を公表しました。これは、同社のウェブアプリケーションファイアウォール（WAF）ラインにおける別の脆弱性が実際に悪用されていることを明らかにしてから、1週間も経たないうちのことです。

CVE-2025-58034はOSコマンドインジェクションの脆弱性で、悪用された場合、認証済みの攻撃者が細工したHTTPリクエストやCLIコマンドを通じてWAF上でコードを実行できるようになります。この中程度の深刻度の脆弱性は、6.7のCVSSスコアを受けており、Fortinetのアドバイザリによれば、特殊要素の不適切な無害化が原因とされています。

この公表は、CVE-2025-64446として追跡されている別のFortiWeb脆弱性の直後に行われました。11月14日に明らかになったこのゼロデイ脆弱性は、サイレントパッチの疑いをサイバーセキュリティベンダーや情報セキュリティ専門家から招きました。

CVE-2025-58034は、Fortinetの情報公開のあり方についてさらなる疑問を投げかけています。また、ネットワークセキュリティベンダーである同社にとって、近年サイバー犯罪者や国家主体がVPNやファイアウォールなどのエッジデバイスに焦点を移す中で、標的となる脆弱性やセキュリティ脅威が相次いでいる最新の事例でもあります。詳細はこちら。

FortiWebのゼロデイは関連しているのか？

最新のゼロデイ脆弱性が、Fortinetが先週確認したCVE-2025-64446の悪用活動に起因するものかは不明です。CVE-2025-58034のアドバイザリには、攻撃の範囲や出所に関する詳細は記載されていません。Dark ReadingはFortinetにコメントを求めましたが、記事執筆時点で同社からの回答はありませんでした。

しかし、フランスのOrange Cyberdefenseは水曜日、ソーシャルメディアプラットフォームX上の一連の投稿で、「複数の悪用キャンペーン」がCVE-2025-58034をCVE-2025-64446と連鎖させて標的にしていると述べています。

Fortinetは、CVE-2025-58034の報告者としてTrend Microの研究者Jason McFadyenをクレジットしています。Trend Microの研究チームはDark Readingへの声明で、約2,000件の悪用活動を検知しており、この脆弱性は研究者がFortiWebの過去の問題を調査している際に発見されたと述べています。

「現時点での分析に基づくと、これら2つの脆弱性は別個の問題です」と声明は述べています。「直接的な関連はありませんが、攻撃者は可能であれば脆弱性を連鎖させることができるため、全体的なリスクを低減するために両方ともパッチを適用すべきです。」

一方、Rapid7は本日、CVE-2025-58034の技術的な詳細を公開し、この脆弱性が公開前のアップデートで修正されていたことを指摘しました。これはCVE-2025-64446と同様です。

「両脆弱性の公開タイミングは数日しか違いません。両方ともベンダーによって事前の製品アップデートで修正されており、パッチ時点での公表はありませんでした」とRapid7は技術分析で述べています。「認証バイパスと認証済みコマンドインジェクションを連鎖させることには明らかな有用性があります。これらを踏まえると、これら2つの脆弱性が、脆弱なFortiWebデバイスに対する認証不要のリモートコード実行のエクスプロイトチェーンを構成している可能性が高いと考えられます。」

Rapid7はさらに別の問題も指摘しています。パッチの分析に基づき、Rapid7の研究者はFortiWebの複数の関数に新たなバリデーションロジックが追加されたことを観察しました。その結果、複数のコマンドインジェクションが修正されましたが、割り当てられたCVEは1つだけでした。

「CVEエコシステムは、単一の根本原因を持つ単一の脆弱性に単一のCVE識別子が割り当てられる場合に最も効果的に機能します」とRapid7は述べています。「コードベース全体の複数の脆弱性に単一のCVE識別子を割り当てるのは有益ではありません。防御側がどの脆弱性が悪用されているのか正しく特定できず（例えば、ネットワークトラフィックやIOCは、どの脆弱性が悪用されたかによって異なる場合があります）、検知や対応に悪影響を及ぼす可能性があります。」

緩和策と防御

米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は火曜日、CVE-2025-58034を既知の悪用脆弱性（KEV）カタログに追加しました。継続中のゼロデイ攻撃がCVE-2025-64446に対して行われていることを踏まえ、「対応期間を1週間に短縮することが推奨される」とCISAはアラートで述べています。Binding Operational Directive（BOD）22-01のもと、CISAは通常、KEVに追加された新たな脆弱性に対して連邦機関に2週間のパッチ期限を設けています。

Orange Cyberdefenseは、Fortinetの顧客に対し、WAFを修正版（FortiWebバージョン8.0.2、7.6.6、7.4.11、7.2.12、7.0.12）へアップデートし、FortiWebの管理インターフェースをインターネットに公開しないよう推奨しています。さらに、組織は新規作成されたユーザーアカウントの監視も行うべきです。