脅威アクターは、Fortinetのセキュリティ製品に存在する重大な脆弱性を積極的に悪用し、認証制御を回避して、露出したシステムへの完全な管理者アクセスを取得しています。
これらの欠陥は、FortiWebやFortiCloud統合製品を含む広く導入されているFortinetアプライアンスに影響し、インターネットに面した環境を直ちに危険にさらします。
これらの脆弱性は「…細工されたSAMLメッセージにより、未認証の攻撃者がFortiCloud SSOログイン認証を回避できる可能性がある」と、Fortinetはアドバイザリで述べています。
Fortinetのエッジアプライアンスがアクティブな攻撃の標的に
これらの脆弱性は、WebアプリケーションファイアウォールやID統合プラットフォームなど、高い権限を持つネットワーク上の位置に配置されるエッジセキュリティアプライアンスに影響します。
悪用に成功すると、攻撃者は不正な管理者アカウントを作成したり、資格情報なしで認証を完全に回避したりでき、企業ネットワークを保護するために設計されたセキュリティ基盤を直接制御できるようになります。
Fortinetは、FortiWebのパストラバーサルの欠陥であるCVE-2025-64446の悪用を確認し、CISAはCVE-2025-64446とCVE-2025-59718の両方を既知の悪用済み脆弱性(KEV)カタログに追加しました。
FortiWebのGUI APIの欠陥により管理者アカウント作成が可能に
CVE-2025-64446は、FortiWebのGUI APIに存在する重大なパストラバーサル脆弱性で、未認証の攻撃者が特権的なCGI機能にアクセスできるようになります。
研究者は、特別に細工されたリクエストによりディレクトリを横断し、意図されたアクセス制御を回避してfwbcgiバイナリに直接到達できることを実証しました。
アクセスされると、CGIハンドラは不十分な2つのチェック(入力検証用と認証用)を実行します。
攻撃者は、有効なJSONペイロードを提供し、Base64エンコードされたCGIINFOヘッダーを用いて管理者資格情報を偽装することで、両方の条件を満たせます。
これにより攻撃者は、prof_admin権限、無制限のホストアクセス(0.0.0.0/0)、および攻撃者が制御するパスワードを持つ新しい管理者アカウントを作成するリクエストを送信できます。
CVE-2025-59718がFortinetアカウントの乗っ取りを可能にする仕組み
他のFortinet関連の脅威活動と並行して、CISAはFortiCloudシングルサインオン(SSO)に影響する重大な認証回避脆弱性であるCVE-2025-59718のアクティブな悪用を確認しました。
この脆弱性は、SAMLベースの認証フローにおける暗号署名の不適切な検証に起因します。
FortiCloud SSOは、IDプロバイダーとFortinetサービス間の信頼を確立するためにSAMLアサーションを使用しますが、検証ロジックの欠陥により、その真正性と完全性を適切に検証できません。
この弱点を悪用することで、攻撃者は、有効な暗号署名がない、または認可されたIDプロバイダーに由来しないにもかかわらず正当として受け入れられる悪意のあるSAML認証レスポンスを作成できます。
これにより、未認証のリモート攻撃者はFortiCloud SSOを完全に回避し、有効な資格情報を提示することなく正当なユーザーやサービスになりすますことができます。
認証境界が破られると、攻撃者はFortiCloud SSOと統合されたFortinet製品(FortiOS、FortiProxy、FortiSwitchMaster、FortiWebなど)に直接アクセスできるようになります。
FortiCloud SSOはフェデレーテッドIDレイヤーとして機能するため、1回の回避成功で単一デバイスへの露出にとどまらず、複数のプラットフォームや管理対象環境にまたがる広範なアクセスを攻撃者に与え得ます。
CVE-2025-59718の悪用により、攻撃者は構成を操作し、セキュリティポリシーを変更し、トラフィックを傍受または迂回させ、多数のFortinetデバイスにわたって永続的なアクセスを確立できます。
密接に関連する脆弱性であるCVE-2025-59719は、SAML署名処理の不備という同じ根本原因を共有しており、Fortinetは認証回避状態を完全に解消するために両方の問題を併せてパッチ適用する必要があると助言しています。
Fortinetの悪用によるリスクを低減する方法
以下の緩和策は、組織が露出を減らし不正利用を検知するために取れる実践的な手順を示します。
- 修正済みのFortinetバージョンへ直ちにアップグレードし、セキュリティ更新を受け取れなくなったサポート終了製品は廃止するか隔離してください。
- パッチ適用が遅れる場合は、インターネットに面したすべての管理インターフェースでHTTPおよびHTTPSアクセスを無効化し、管理プレーンへのアクセスを信頼できるネットワークのみに制限してください。
- 悪用の兆候がないか、デバイスおよびFortiCloudのログを確認してください。疑わしいfwbcgiの活動、異常なPOSTリクエスト、パストラバーサルの試行、予期しない管理者アカウントなどが含まれます。
- IDの信頼関係を厳格化し、SSOの資格情報または証明書をローテーションし、運用上可能な範囲でSSO統合を無効化することで、FortiCloud SSOの露出を抑制してください。
- ゼロトラストの原則、最小権限の管理者ロール、ならびに許可リスト、レート制限、またはWAF保護などの上流制御を用いて、管理インターフェースを分離・保護してください。
- 復旧後は、アクティブなSSOセッションを無効化し、無許可の構成変更、ポリシー改変、または永続化メカニズムについて、対象を絞った脅威ハンティングを実施してください。
これらの緩和策を組み合わせることで、ID起因のリスクを低減し、被害範囲(ブラスト半径)を抑えることで、サイバーレジリエンスの強化に役立ちます。
これらのインシデントは、継続するセキュリティ上の現実を浮き彫りにしています。すなわち、エッジインフラとID統合プラットフォームは、企業環境への迅速で摩擦の少ない侵入を狙う攻撃者にとって、引き続き主要な標的であるということです。
これらの傾向は、暗黙の信頼を排除し、従来のネットワーク境界への依存を減らすゼロトラストアプローチの必要性を改めて裏付けています。
