TokyoBlackHatNews

theregister.com 4分で読了

Fortinet、1週間で2つ目のゼロデイを認める

Fortinetは、FortiWebウェブアプリケーションファイアウォールに新たな脆弱性がゼロデイとして悪用されていたことを確認し、パッチを公開しました。これは、攻撃者により1か月前から発見・悪用されていた同製品の重大なバグを公開してからわずか数日後のことです。

新たなバグはCVE-2025-58034として追跡されており、OSコマンドインジェクションの脆弱性です。認証済みの攻撃者が細工したHTTPリクエストやCLIコマンドを使用して、基盤となるシステム上で不正なコードを実行できてしまいます。FortiWebデバイスを最新のソフトウェアバージョンに更新することで、この問題は修正されます。

これら2つの脆弱性が、認証不要のRCE(リモートコード実行)用のエクスプロイトチェーンを構成している可能性が非常に高いようです

「Fortinetは、この脆弱性が実際に悪用されていることを確認しています」と、同社は火曜日のセキュリティアドバイザリで述べ、この脆弱性の発見と報告を行ったTrend Microの研究者Jason McFadyen氏に謝意を示しました。

「Trend Microは、この脆弱性を利用した攻撃がすでに野外で観測されており、これまでに約2,000件の検出があった」と、Trend Microのシニア脅威リサーチャーStephen Hilt氏はThe Registerに語りました。

一方、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は火曜日、FortiWebのバグについて独自の警告を発し、既知の悪用脆弱性カタログに追加し、連邦機関に対しパッチ適用までわずか7日間の猶予しか与えませんでした。CISAは通常、重大なパッチには15日間、高深刻度のバグには30日間の対応期限を設けています。

「この種の脆弱性は、悪意あるサイバー攻撃者による頻繁な攻撃ベクターであり、連邦機関に重大なリスクをもたらします」と、米国のサイバー防衛機関は警告しています。

Fortinetは、CVE-2025-58034の悪用範囲や誰がこの脆弱性を悪用しているのか、また攻撃による影響についてThe Registerの問い合わせにすぐには回答しませんでした。ベンダーから回答があれば本記事を更新します。

また、次のような疑問もあります。今回の新たなFortiWebのバグは、先週公開されたものと関連しているのでしょうか?この点についてもFortinetに問い合わせています。

先週金曜日、Fortinetはセキュリティアドバイザリを公開し、認証されていない攻撃者が管理者コマンドを実行し、脆弱なデバイスを乗っ取ることができる、アクティブに悪用されている重大なFortiWebのパストラバーサル脆弱性(CVE-2025-64446)について警告しました。

この脆弱性にも、金曜日に至るまでCVEが割り当てられていませんでしたが、ソフトウェア会社がついに「実際に悪用されていることを確認した」と認めたのは、サードパーティのセキュリティ調査員がアクティブな悪用を警告してから1か月後のことでした。

「watchTowrチームは、無差別かつアクティブな野外での悪用を確認しています」と、watchTowrのCEO兼創設者Benjamin Harris氏はFortinetの公開前にThe Registerに語りました。

Fortinetの火曜日のアドバイザリには、2つのバグの関連性については記載されていませんでしたが、認証バイパスを可能にするCVE-2025-64446を利用することで、認証済みコマンドインジェクションバグであるCVE-2025-58034の悪用が容易になるのは明らかです。

「私たちの調査では、同じ製品の過去の問題をレビューしている際にこのFortiWebの脆弱性を発見しました。認証済みユーザーがウェブインターフェースを通じてシステムコマンドを実行できることが判明し、パッチが適用されていない場合、攻撃者がデバイスを制御しネットワーク内部に侵入するリスクがあります」とTrend MicroのHilt氏は述べています。

セキュリティ企業Rapid7がFortinetの脆弱性について技術分析で指摘しているように、「いくつかの点が際立っており」、2つの脆弱性が関連しているように見えます。

まず、タイムラインです。Fortinetは2つのバグを数日違いで公開しました。

「両方の脆弱性は、ベンダーによって以前の製品アップデートでパッチが適用されていましたが、その際に公開はされていませんでした」と分析は続けています。「認証バイパスと認証済みコマンドインジェクションを組み合わせることには明らかな利点があります。これらすべてを踏まえると、2つの脆弱性が、脆弱なFortiWebデバイスに対する認証不要のリモートコード実行のためのエクスプロイトチェーンを構成している可能性が非常に高いと言えるでしょう。」®

翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/11/19/fortinet_confirms_second_fortiweb_0day/

ソース: go.theregister.com
#2025年サイバーセキュリティ #5G脆弱性 #Chromeゼロデイ #CISA #CVE-2025-58034 #CVE-2025-64446 #Fortinet #FortiWeb #OSコマンドインジェクション #リモートコード実行

関連記事

「アホ」な犯罪者が「ランサムウェアクラブの第一のルール」を破る

CiscoがMythosを絶賛——しかしモデルが発見したバグ数は非公開

ロシア情報機関、外国スパイが高官のスマートフォンを監視装置に変えたと主張