Fortinetはついに金曜日、積極的に悪用されている重大なFortiWebのパストラバーサル脆弱性についてのセキュリティアドバイザリを公開しましたが、デジタル侵入者は1か月の先行スタートを切っていたようです。
このバグは、現在CVE-2025-64446として追跡されており、認証されていない攻撃者がFortinetのWebアプリケーションファイアウォール製品上で管理者コマンドを実行し、脆弱なデバイスを完全に乗っ取ることを可能にします。FortiWebバージョン8.0.2で完全に修正されていますが、金曜日までCVEも割り当てられておらず、その日にベンダーが「実際に悪用されていることを確認した」と認めました。
また同じく金曜日、米国サイバーセキュリティ・インフラ庁(CISA)がCVE-2025-64446を既知の悪用脆弱性カタログに追加しました。
Fortinetの広報担当者は、攻撃の範囲や開始時期などの悪用に関するThe Registerの質問に回答を拒否し、次の声明をメールで送りました:
しかし、概念実証(PoC)エクスプロイトは10月初旬から出回っているようで、サードパーティのセキュリティ調査員はThe Registerに対し、悪用が広範囲に及んでいると語っています。
「watchTowrチームは、FortinetのFortiWeb製品における静かに修正されたと思われる脆弱性の、積極的かつ無差別な実際の悪用を確認しています」と、watchTowrのCEO兼創設者であるBenjamin Harris氏はFortinetのセキュリティアドバイザリ発表前に語りました。
「この脆弱性により、攻撃者は特権ユーザーとして操作を実行でき、実際の悪用では攻撃者が新しい管理者アカウントを追加することで基本的な永続化メカニズムとして利用されています」と彼は付け加えました。
この脆弱性により、攻撃者は特権ユーザーとして操作を実行でき、実際の悪用では攻撃者が新しい管理者アカウントを追加することで基本的な永続化メカニズムとして利用されています
watchTowrは脆弱性の再現に成功し、動作するPoCを作成、さらにIT環境内の脆弱なホストを特定するためのDetection Artefact Generatorも提供しています。
バージョン8.0.2で修正されたにもかかわらず、攻撃は現在も続いており、Harris氏によれば少なくとも80,000台のFortiWeb Webアプリファイアウォールがインターネットに接続されています。
「まだパッチを適用していない場合は、今すぐ適用してください」と彼は助言します。「とはいえ、watchTowrチームとAttacker Eyeセンサーネットワークが観測した無差別な悪用を考えると、未修正の機器はすでに侵害されている可能性が高いです。」
FortinetのWebアプリケーションファイアウォールに対する攻撃の試みは10月6日にさかのぼります。この時、サイバー欺瞞企業Defusedが、FortiWeb Managerハニーポットで捕捉したPoCをソーシャルメディアで公開しました。当時、このバグは公開されておらず、CVEもありませんでした。
Rapid7の脅威ハンターによれば、PoCは最新のFortiWebバージョンには通用しませんが、8.0.1を含む以前のリリースには有効であり、8月にリリースされています。
また、セキュリティ企業は11月6日にFortiWebを標的としたゼロデイエクスプロイトがマルウェア・エクスプロイト販売市場で販売されているのを発見しました。「現時点でこれが上記のエクスプロイトと同じものかは不明ですが、タイミングが一致しています」とRapid7のバグハンターは述べています。
この話題は、CVE-2025-64446の悪用と同様、現在も進行中であり、The RegisterはFortiWeb攻撃について新たな情報が入り次第、続報をお届けします。®
