Fortinet FortiWebに新たな脆弱性、既に悪用を確認

研究者たちは、Fortinet FortiWebに存在するオペレーティングシステムコマンドインジェクションの脆弱性（CVE-2025-58034）について警告を発しています。この脆弱性は、Fortinetが先にサイレントパッチを適用した別の致命的な脆弱性（CVE-2025-64446）の悪用が確認された数日後に公表されました。CISA（米国サイバーセキュリティ・社会基盤安全保障庁）は、このコマンドインジェクションの脆弱性を既知の悪用されている脆弱性（KEV）カタログに追加しており、迅速な対応が求められています。

CVE-2025-58034の詳細：認証済みRCEのリスク

新たに開示されたCVE-2025-58034は、Fortinet FortiWebのOSコマンドで特殊要素が不適切に無効化されることに起因します。この脆弱性は深刻度スコア6.7（中程度）と評価されており、認証された攻撃者が細工されたHTTPリクエストやCLIコードを使用することで、システム上でコードを実行できる可能性があります。Trend Microの研究者が同じ製品の以前のセキュリティ問題を調査中にこの欠陥を発見し、ウェブインターフェースを通じてシステムコマンドが実行可能であることを指摘しています。これにより、パッチが適用されていないシステムは、攻撃者がデバイスを制御し、ネットワーク内部に侵入するリスクに晒されます。

サイレントパッチ問題と脆弱性の連携悪用

Fortinetは、CVE-2025-64446（Fortinet FortiWebの相対パストラバーサル欠陥）について、10月下旬にパッチを適用したものの、その事実を数週間公表しなかったため、セキュリティコミュニティから批判を浴びました。この「サイレントパッチ」は、セキュリティチームが適切な対策を講じる機会を奪う形となりました。

さらに憂慮すべきは、Rapid7の研究者が指摘するように、これら二つの脆弱性が連携して悪用される可能性がある点です。Rapid7 Labsは、両方の脆弱性を再現し、これらが組み合わされることで、完全に認証されていないリモートコード実行（RCE）のエクスプロイトチェーンが成立することを検証しました。これは、CVE-2025-58034が悪用されているという事実と相まって、攻撃者が既存の管理者認証情報を保持しているか、または認証バイパス（CVE-2025-64446がこれに該当）を悪用している可能性を示唆しています。

広がる脅威と推奨される対策

GreyNoiseの研究者によると、KEVカタログにCVE-2025-64446が追加されてから72時間以内に、ハニーポットがこの脆弱性を標的とした脅威活動を検知しています。月曜日にはエクスプロイトトラフィックの急増が観測され、これらの脆弱性が積極的に悪用されていることが示されています。

Fortinetは影響を受ける顧客に対し、これらのセキュリティ問題に対処する方法について連絡を取っていると述べていますが、FortiWebのユーザーは、速やかに最新のパッチを適用し、システムを保護することが不可欠です。未パッチのシステムは、高度な脅威に晒されるリスクが高い状態にあります。

元記事: https://www.cybersecuritydive.com/news/command-injection-flaw-fortinet-fortiweb-exploitation/806027/