Fortinet は、FortiWeb Web アプリケーションファイアウォールに存在する重大なゼロデイ脆弱性に対し、サイレントパッチを適用していたことを認めました。この脆弱性は現在、実環境で「大規模に悪用されている」状態です。
この発表は、認証されていない攻撃者が、未知の FortiWeb パストラバーサルの脆弱性を悪用し、インターネットに公開されたデバイス上に新たな管理者ユーザーを作成しているという報告に続くものです。
これらの攻撃は、脅威インテリジェンス企業 Defused によって 10 月 6 日に初めて確認されました。同社は PoC(概念実証)エクスプロイトを公開し、「未知の Fortinet エクスプロイト(おそらく CVE-2022-40684 の亜種)」が使用され、/api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi という Fortinet のエンドポイントに HTTP POST リクエストを送信してローカルの管理者レベルアカウントを作成していると報告しました。
木曜日には、watchTowr Labs のセキュリティ研究者もエクスプロイトのデモを行い、防御側が脆弱なデバイスを特定するのに役立つツール「FortiWeb Authentication Bypass Artifact Generator」を公開しました。
サイバーセキュリティ企業 Rapid7 は、追記として、この脆弱性は FortiWeb バージョン 8.0.1 以前に影響し、バージョン 8.0.2 にアップデートした後は、公開されている PoC エクスプロイトがもはや機能しないことを確認したと述べました。
本日、Fortinet は、FortiWeb の GUI コンポーネントに存在するパスコンフュージョンの脆弱性(現在 CVE-2025-64446 として追跡中)が攻撃者により積極的に悪用されていることを明らかにしました。この脆弱性により、未パッチのシステムに対して細工された HTTP または HTTPS リクエストを送ることで、認証されていない攻撃者が管理者コマンドを実行できてしまいます。
「Fortinet は、この脆弱性が実環境で悪用されていることを確認しています」と、同社は金曜日のセキュリティアドバイザリで述べています。
Fortinet はまた、このゼロデイが FortiWeb 8.0.2 でサイレントに修正されていたことも確認しました。8.0.2 は 10 月 28 日にリリースされており、CVE-2025-64446 のセキュリティ欠陥が攻撃で悪用されていると Defused が最初に報告してから 3 週間後のことです。
| バージョン | 影響を受けるバージョン | 対処方法 |
|---|---|---|
| FortiWeb 8.0 | 8.0.0 ~ 8.0.1 | 8.0.2 以降にアップグレード |
| FortiWeb 7.6 | 7.6.0 ~ 7.6.4 | 7.6.5 以降にアップグレード |
| FortiWeb 7.4 | 7.4.0 ~ 7.4.9 | 7.4.10 以降にアップグレード |
| FortiWeb 7.2 | 7.2.0 ~ 7.2.11 | 7.2.12 以降にアップグレード |
| FortiWeb 7.0 | 7.0.0 ~ 7.0.11 | 7.0.12 以降にアップグレード |
すぐに FortiWeb 8.0.2 へアップグレードできない管理者は、インターネットに面したすべての管理インターフェースで HTTP および HTTPS を無効化し、アクセスが信頼できるネットワークに限定されていることを確認する必要があります。
Fortinet はまた、顧客に対し、設定内容を確認し、新たに作成された不正な管理者アカウントやその他の予期しない変更がないかログを精査するよう助言しています。
BleepingComputer は、進行中のこれらの攻撃について Fortinet に質問を送っていますが、まだ回答は得られていません。
8 月には、Fortinet は FortiSIEM セキュリティ監視ソリューションに存在する、公開されたエクスプロイトコード付きの重大なコマンドインジェクション脆弱性(CVE-2025-25256)にもパッチを適用しました。これは、サイバーセキュリティ企業 GreyNoise が、Fortinet SSL VPN を標的としたブルートフォース攻撃の大規模な急増について警告した翌日のことでした。
