Fortinet FortiWebの重大な脆弱性、活発な悪用を確認
セキュリティ研究者らは、FortinetのWebアプリケーションファイアウォール製品であるFortiWebに存在する重大な脆弱性(CVE-2025-64446)が現在活発に悪用されていると警告しています。この脆弱性は、認証されていない攻撃者が特別に細工されたHTTPまたはHTTPSリクエストを使用することで、システム上で管理コマンドを実行することを可能にします。CVSSv3スコアは9.1と評価されており、深刻な影響が懸念されています。
脆弱性の詳細と攻撃の手口
この脆弱性は「相対パストラバーサル」に分類され、攻撃者はこれにより管理者権限でアクションを実行できます。watchTowrの創設者兼CEOであるBenjamin Harris氏によると、悪用活動は主に「基本的な永続化メカニズムとして新しい管理者アカウントを追加すること」に焦点を当てています。Shadowserverの研究者たちは、世界中で数百件の事例を確認しているものの、非侵襲的な方法では正確な脆弱なインスタンスの数を把握することは困難だと述べています。
CISAが警告を発令し、対応を要請
米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、この脆弱性を「既知の悪用された脆弱性カタログ」に追加し、緊急の対応を促しています。CISAは、直ちにアップグレードできないセキュリティチームに対し、インターネットに接続するインターフェースのHTTPまたはHTTPSを無効にすること、および不正な管理者アカウントが作成されていないかログを調査するよう指示しています。また、確認されたインシデントや異常な活動があれば、CISAの運用センターに報告するよう求めています。
Fortinetに対する「サイレントパッチ」の批判
複数の研究者によると、Fortinetは公式なガイダンスやCVEを公開する数週間前、つまり10月28日に、脆弱性に対応したバージョン8.0.2を「サイレントパッチ」としてリリースしていました。これにより、セキュリティコミュニティ内で大きな混乱が生じ、攻撃者に有利な状況を与えたとの批判が上がっています。
過去にも指摘された「サイレントパッチ」問題
FortinetはCVE採番機関(CNA)ですが、VulnCheckのセキュリティ研究担当副社長であるCaitlin Condon氏は、同社が以前にもCVEや公開勧告の前にセキュリティ脆弱性のサイレントパッチを適用した経緯があると指摘しています。彼女は、この慣行がセキュリティコミュニティに混乱をもたらし、特に脆弱性が公に発表される前に悪用が始まるケースでは、攻撃者に有利に働く可能性があると述べています。
Fortinetの見解と課題
Fortinetは金曜日、この脆弱性を認識しており、活動を把握した時点でPSIRT(プロダクトセキュリティインシデント対応チーム)の対応を開始したことを確認しました。Fortinetの広報担当者は、「顧客のセキュリティと責任ある透明性へのコミットメントを慎重に両立させている」と述べており、影響を受ける顧客には必要な推奨措置について直接伝達しているとのことです。しかし、サイレントパッチに関する研究者からの懸念に対しては、具体的な回答をしていません。