この中程度の深刻度の脆弱性は、同じ製品内の重大な脆弱性と組み合わせて利用される可能性があり、攻撃者がさらなる能力を獲得する手助けとなる場合があります。
研究者らは、Fortinetが数週間前に静かにパッチを適用し、その後ガイダンスを発表する前に悪用が確認された別の重大な脆弱性について認めた直後、Fortinet FortiWebにおけるOSコマンドインジェクションの脆弱性について警告している。
新たに公開されたこの脆弱性は、CVE-2025-58034として追跡されており、Fortinet FortiWebにおけるOSコマンドで使用される特殊要素の不適切な無害化に関係している。
このWebアプリケーションファイアウォールの脆弱性は深刻度スコア6.7で、認証された攻撃者が細工したHTTPリクエストやCLIコードを使用してシステム上でコードを実行できる可能性がある。
火曜日に発行されたアドバイザリで、Fortinetはこの脆弱性が実際に悪用されていると警告した。
Trend Microの研究者は、同じ製品の以前のセキュリティ問題を調査している際にこの脆弱性を発見したと述べている。調査により「認証済みユーザーがWebインターフェースを通じてシステムコマンドを実行できることが判明し、システムがパッチされていない場合、攻撃者がデバイスを制御しネットワーク内部へ侵入するリスクが生じる」とTrend Microの上級脅威研究員Stephen Hilt氏はCybersecurity Diveに語った。
火曜日、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、このコマンドインジェクション脆弱性を既知の悪用脆弱性カタログに追加した。
同社は、サイレントパッチを発行したことでセキュリティコミュニティから批判を受けている。これはFortinet FortiWebにおける相対パストラバーサルの脆弱性CVE-2025-64446に対するものである。同社は10月下旬にこの脆弱性のパッチを発行したが、金曜日まで公に発表せず、セキュリティチームはその事実を知らなかった。
Rapid7の研究者は、両方の脆弱性が公開前にパッチされていたようだと述べ、攻撃者がこれらの脆弱性を連鎖させて利用するリスクを警告した。Rapid7 Labsは両方の脆弱性を再現でき、これらが連携して動作することで攻撃者に完全な未認証RCE(リモートコード実行)エクスプロイトチェーンを与えることを確認したと、Rapid7の上級主任研究員Stephen Fewer氏はCybersecurity Diveに語った。
CVE-2025-58034が実際に悪用されたと報告された事実は、攻撃者の能力についてさらなる洞察を与える。
「このことは、認証済み脆弱性を悪用していた者が、既存の管理者資格情報を事前に知っていたか、あるいは適切な認証バイパスを持っていたことを示しており、CVE-2025-64446はこの要件を満たすのに最適です」とFewer氏は述べた。
GreyNoiseの研究者は、同社のハニーポットがCVE-2025-64446を標的とした脅威活動を検知したと述べており、この脆弱性がKEVカタログに追加されてから72時間以内だった。月曜日からエクスプロイトトラフィックの急増が見られた。
Fortinetはコメント要請に応じなかった。同社は先週、影響を受けた顧客に対し、これらのセキュリティ問題への対応方法について連絡していると述べた。
翻訳元: https://www.cybersecuritydive.com/news/command-injection-flaw-fortinet-fortiweb-exploitation/806027/
