はじめに
Fortinetは、同社のウェブアプリケーションファイアウォール製品FortiWebに影響を及ぼす重大なOSコマンドインジェクションのゼロデイ脆弱性(CVE-2025-58034)を公表しました。さらに、この脆弱性が現実世界で活発に悪用されていることを確認しており、緊急の対応が求められています。
脆弱性の詳細
この脆弱性は、認証された攻撃者が特別に細工されたHTTPリクエストまたはコマンドラインインターフェースコマンドを通じて、脆弱なシステム上で不正なコードを実行することを可能にするものです。CWE-78(OSコマンドにおける特殊エレメントの不適切な無害化)に分類され、セキュリティ制御を回避し、不正なシステムアクセスを可能にする既知の攻撃ベクトルです。
- CVE ID: CVE-2025-58034
- 脆弱性の種類: OS Command Injection (CWE-78)
- CVSSスコア: 6.7 (中程度)
- 影響: 認証された攻撃者が不正なコードやコマンドを実行可能
- 悪用状況: 活発な悪用が確認済み
悪用には、昇格された権限を持つ認証済み攻撃者が必要ですが、一度認証が確立されると、基盤となるオペレーティングシステム上で任意のコードを実行できるため、完全なシステム侵害、データ窃取、または企業ネットワーク内での横方向の移動につながる可能性があります。
影響を受けるバージョンと対応策
Fortinetは、この脆弱性に対応するパッチをリリースしました。FortiWebを利用している組織は、潜在的な侵害を防ぐために、直ちに以下の最小バージョンにアップグレードすることを強く推奨します。
- FortiWeb 8.0: バージョン 8.0.2 以降にアップグレード
- FortiWeb 7.6: バージョン 7.6.6 以降にアップグレード
- FortiWeb 7.4: バージョン 7.4.11 以降にアップグレード
- FortiWeb 7.2: バージョン 7.2.12 以降にアップグレード
- FortiWeb 7.0: バージョン 7.0.12 以降にアップグレード
即座にパッチを適用できない場合でも、ネットワーク管理者は、FortiWebシステムへの認証済みアクセスを制限する追加のアクセス制御を実装し、不審なコマンド実行パターンを監視する必要があります。
経緯と推奨事項
この脆弱性は、Trend MicroのTrend Researchチームのセキュリティ研究者Jason McFadyen氏によってFortinetに責任をもって開示されました。Fortinetは2025年11月18日に勧告を公開し、内部参照番号FG-IR-25-513を割り当てています。
セキュリティチームは、FortiWebの展開状況と現在のバージョンを直ちに確認し、パッチをライブシステムに展開する前に非本番環境でテストすることを優先すべきです。また、潜在的な悪用試行のためにログをレビューし、この脆弱性の影響を受ける可能性のあるシステムの整合性を検証することが重要です。
元記事: https://gbhackers.com/new-fortiweb-0-day-code-execution-flaw/