本日、Fortinet は、脅威アクターによって攻撃で積極的に悪用されている新たな FortiWeb のゼロデイ脆弱性を修正するセキュリティアップデートを公開しました。
CVE-2025-58034 として追跡されているこの Web アプリケーションファイアウォールのセキュリティ欠陥は、Trend Micro の Trend Research チームに所属する Jason McFadyen 氏によって報告されました。
認証済みの脅威アクターは、この OS コマンドインジェクションの脆弱性を悪用することで、ユーザーの操作を必要としない低難度の攻撃でコード実行を行うことができます。
Fortinet は「FortiWeb における OS コマンドで使用される特殊要素の不適切な無害化(『OS コマンドインジェクション』)の脆弱性 [CWE-78] により、認証済みの攻撃者が細工した HTTP リクエストまたは CLI コマンドを介して、基盤となるシステム上で不正なコードを実行できる可能性があります」と述べています。
米サイバーセキュリティ企業である同社は、火曜日のセキュリティアドバイザリの中で、「Fortinet は、この脆弱性が実際に悪用されていることを確認しています」と付け加えました。
受信攻撃をブロックするため、管理者には、本日リリースされた最新のソフトウェアへ FortiWeb デバイスをアップグレードすることが推奨されています。
| バージョン | 影響を受けるバージョン | 解決策 |
|---|---|---|
| FortiWeb 8.0 | 8.0.0 ~ 8.0.1 | 8.0.2 以降へアップグレード |
| FortiWeb 7.6 | 7.6.0 ~ 7.6.5 | 7.6.6 以降へアップグレード |
| FortiWeb 7.4 | 7.4.0 ~ 7.4.10 | 7.4.11 以降へアップグレード |
| FortiWeb 7.2 | 7.2.0 ~ 7.2.11 | 7.2.12 以降へアップグレード |
| FortiWeb 7.0 | 7.0.0 ~ 7.0.11 | 7.0.12 以降へアップグレード |
先週、Fortinet は、脅威インテリジェンス企業 Defused が初めて積極的な悪用を報告してから 3 週間後の 10 月 28 日に、別の大規模に悪用されている FortiWeb ゼロデイ(CVE-2025-64446)に対して、ひそかにパッチを適用していたことも認めました。
Defused によると、攻撃者は HTTP POST リクエストを使用して、インターネットに公開されたデバイス上に新たな管理者レベルのアカウントを作成しています。
金曜日には、CISA も CVE-2025-64446 を、積極的に悪用されている脆弱性のカタログに追加し、米連邦機関に対して、11 月 21 日までにシステムを保護するよう命じました。
BleepingComputer は、これらの脆弱性について Fortinet と Trend Micro に質問を送っていますが、まだ回答は得られていません。
今年の初め 8 月には、Fortinet は、サイバーセキュリティ企業 GreyNoise による Fortinet SSL VPN を標的としたブルートフォース攻撃の大規模な急増に関する報告の翌日に、FortiSIEM セキュリティ監視ソリューションにおいて、公開されたエクスプロイトコードが存在する別のコマンドインジェクション脆弱性(CVE-2025-25256)にもパッチを適用しました。
Fortinet の脆弱性は、サイバースパイ活動やランサムウェア攻撃において(しばしばゼロデイとして)悪用されることがよくあります。たとえば Fortinet は 2 月に、中国の Volt Typhoon ハッカーグループが、FortiOS SSL VPN の 2 つの脆弱性(CVE-2022-42475 および CVE-2023-27997)を悪用し、カスタムの Coathanger リモートアクセス型トロイの木馬(RAT)マルウェアを用いて、オランダ国防省の軍事ネットワークにバックドアを設置していたことを明らかにしました。
