概要
セキュリティ研究者が、FortinetのWebアプリケーションファイアウォール(WAF)製品「FortiWeb」に最近開示された2つの脆弱性が、これまで知られていたよりも古い、サポート対象外のバージョンにも影響を与える可能性があると警告しています。この発見は、企業がサイバーセキュリティ対策を講じる上で新たな懸念を提起しています。
脆弱性の詳細
今回問題となっているのは、以下の2つの脆弱性です:
- 相対パス・トラバーサル脆弱性 (CVE-2025-64446)
- OSコマンドインジェクション脆弱性 (CVE-2025-58034)
Fortinetは11月に、これらの脆弱性がすでに悪用されていることを確認していました。当初のFortinetのガイダンスでは、CVE-2025-64446についてバージョン7.0.0から7.0.11、および8.0.0から8.0.1が影響を受けるとされていました。
影響範囲の拡大
しかし、Rapid7の主任セキュリティ研究者であるStephen Fewer氏は、FortiWebのバージョン6.xなどの古いサポート終了バージョンも、上記両方の脆弱性の影響を受けることを発見しました。Rapid7の研究者らは、これら古いバージョンを標的とした脅威活動を直接確認したわけではないとしながらも、顧客に通知済みであり、CISA(サイバーセキュリティ・社会基盤安全保障庁)がこれらの脆弱性を既知の悪用されている脆弱性(KEV)カタログに追加したことを認識していると述べています。
Fortinetの対応への批判
Fortinetは以前、CVE-2025-64446が10月に最初に開示された後、公式なガイダンスやCVE識別子を提供せずに「サイレントパッチ」を適用したことで、広範な批判を浴びました。これにより、製品を使用している企業のセキュリティチームは、何を探すべきか、実際の脅威がどの程度か、どのように軽減策を優先すべきかについて指示がない状態に陥りました。
Rapid7のスタッフセキュリティ研究者であるRyan Emmons氏は、「このケースでは、CVEが発行される前にすでに実世界での悪用が見られました。これは防御側にとって大きな足かせとなります。新しい脆弱性が公表された際に取られるプロセスの多くは、それらのCVE識別子に依存しているからです」と述べています。
セキュリティチームへの影響と今後の課題
今回のRapid7による追加の発見は、企業がサポート終了製品のリスクを再評価する必要があることを示唆しています。特に、CVE識別子の発行に先行して脆弱性が悪用される事例は、セキュリティチームが脅威に迅速に対応するための情報が不足するという問題を引き起こします。ベンダー側には、透明性の高い情報開示とタイムリーなガイダンスの提供が求められています。