Fortinet のサイレントパッチに懸念の声、重大な FortiWeb 脆弱性が実際の攻撃で悪用

セキュリティ研究者らは、現在 CVE-2025-64446 として追跡されている Fortinet の FortiWeb アプライアンスに存在する 2 件の重大な脆弱性が、実際の環境で積極的に悪用されていると警告している。

watchTowr が公開した調査結果によると、1 つ目の欠陥は、認証されていない攻撃者が相対パストラバーサルを通じて内部 CGI エンドポイントにアクセスできてしまうものであり、もう 1 つの認証バイパス問題は、「HTTP_CGIINFO」ヘッダーを悪用することで、攻撃者が任意の管理者になりすますことを可能にする。

さらに深刻なのは、Fortinet が 11 月 14 日にアドバイザリを出す何週間も前から、この脆弱性が実際の環境で悪用されていたとみられる点であり、これはゼロデイ悪用に該当する。報告によれば、Fortinet は悪用の報告が出始めた後、v8.0.2 を通じてこの欠陥に対するサイレントパッチを出荷していたという。

「ここ数日、複数のセキュリティ企業、CERT、個人研究者が、サイレントパッチが適用された脆弱性に対する積極的な悪用について警鐘を鳴らしています」と VulnCheck の Caitlin Condon 氏はブログ投稿で述べた。「Fortinet は、この脆弱性がなぜサイレントパッチの対象となり、当初 CVE やセキュリティ・ブリテンを付与されなかったのかについて、一切情報を公開していません。」

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、この欠陥を既知悪用脆弱性（KEV）カタログに追加し、すべての連邦民間機関に対し、11 月 21 日までにパッチを適用するよう指示した。

パストラバーサルと管理者なりすまし

攻撃チェーンの前半は、FortiWeb の GUI/API ハンドラーにおける相対パストラバーサルから始まる。Picus の研究者らは、説明の中で、「api/v2.0/」ルーティングパス配下のリクエストは「../../../../../cgi-bin/fwbcgi」のようなシーケンスを用いて改ざんでき、その結果、意図された API エンドポイントではなく、内部のレガシー CGI コンポーネントに呼び出しがリダイレクトされてしまうと述べている。

実質的には、アプライアンスの Apache 設定が細工されたリクエストを「fwbcgi」に転送し、想定されている保護機構をバイパスしてしまう。

攻撃者が CGI バックエンドに到達すると、2 つ目の設計上の欠陥を悪用する — cgi_auth() 関数が、クライアントから提供される「HTTP_CGIINFO」ヘッダーを無条件に処理してしまう点だ。このヘッダー内の JSON フィールドは、適切なチェックなしに username、profname、vdom、loginname を受け入れてしまうため、認証されていない攻撃者でも任意の管理者アカウントになりすまし、完全な管理者権限を取得できてしまう。

これらの手順を組み合わせることで、認証情報なしに完全なリモートコード実行が可能となる。パストラバーサルが扉を開き、ヘッダーのなりすましが攻撃を始動させる。Fortinet はこの欠陥に 10 点満点中 9.1 の深刻度評価を付与したが、Picus の研究者らは 9.8 であるべきだと考えている。

Fortinet は、サイレントパッチや脆弱性の過小評価に関する CSO からのコメント要請にすぐには応じなかった。

サイレントパッチが防御を遅らせた

Fortinet は 2025 年 11 月 14 日に CVE-2025-64446 に関するアドバイザリを正式に公開したものの、同社がそれ以前に出していたバージョン リリースノートには、この脆弱性や修正について一切の記載がなく、パッチがサイレントに適用されたとして批判を招いた。

影響を受けるバージョンには、7.0.0 ～ 7.0.11、7.2.0 ～ 7.2.11、7.4.0 ～ 7.4.9、7.6.0 ～ 7.6.4、そして 8.0.0 ～ 8.0.1 が含まれる。修正は 7.0.12、7.2.12、7.4.10、7.6.5、8.0.2 の各リリースで適用されている。

Fortinet は、すぐにアップグレードできない顧客に対して、インターネットに面したインターフェースでは HTTP または HTTPS を無効化することを推奨している。同社は「HTTP/HTTPS 管理インターフェースがベストプラクティスどおり内部からのみアクセス可能である場合、リスクは大幅に低減されます」と付け加えた。