Fortinet FortiWebのサポート終了バージョンにおける脆弱性が発見される

セキュリティ研究者は、Fortinet FortiWebで最近公開された2つの脆弱性が、ウェブアプリケーションファイアウォール製品の以前のサポート終了バージョンを標的とした攻撃で悪用される可能性があると警告しています。

Fortinetは11月、CVE-2025-64446として追跡される相対パストラバーサルの脆弱性と、CVE-2025-58034として追跡されるOSコマンドインジェクションの脆弱性が、実際に悪用されていることを確認しました。

しかし、Rapid7の研究者は月曜日にこれらの脆弱性が、これまで知られていたよりも古いFortiWebのバージョンで発見されたと述べています。

Fortinetのガイダンスによると、CVE-2025-64446の影響を受けるのはバージョン7.0.0から7.0.11、さらに8.0.0から8.0.1までとされています。

Rapid7の主任セキュリティ研究者であるStephen Fewerは、サポートが終了したFortiWeb 6.xの古いバージョンもCVE-2025-64446およびCVE-2025-58034の両方に脆弱であることを発見しました。

Rapid7の研究者によれば、これまでに古いバージョンのFortiWebを標的とした脅威活動は直接確認していないものの、顧客には通知しており、サイバーセキュリティ・インフラストラクチャセキュリティ庁が既知の悪用脆弱性カタログにこれらの脆弱性を追加したことを認識しています。

Fortinetは以前、2025年10月にCVE-2025-64446が最初に公開された際、サイレントパッチを提供したことで広範な批判を受けていました。Defusedという企業が10月初旬に不審な活動についてのブログを公開しています。

サイレントパッチとは、公式なガイダンスやCVE識別子を提供せずにパッチのみをリリースすることを意味します。そのため、製品を利用している企業のセキュリティチームは、何を確認すべきかの指示がなく、実際のリスクや対策の優先順位付け方法が分かりませんでした。

「今回の場合、CVEが発行される前に実際の悪用が確認されており、これは防御側にとって大きな痛手です」とRapid7のスタッフセキュリティ研究者Ryan Emmons氏はCybersecurity Diveに語りました。「新たな脆弱性が発見された際に実施される多くのプロセスやトリアージ手順は、これらのCVE識別子に依存しています。」