Fortinet FortiWeb Instances Hacked With Webshells Following Public PoC Exploits
2025/07/16 CyberSecurityNews — Fortinet FortiWeb の数十のインスタンスに対して、大規模なハッキング・キャンペーンによる Web シェルの展開が発生したと、脅威監視団体 Shadowserver Foundation が警告している。FortiWeb に存在する SQL インジェクション (SQLi) の脆弱性 CVE-2025-25257 を悪用する、未認証の攻撃者たちは、数日前に公開された PoC エクスプロイトを介して、侵害のペースを急速に拡大しているという。
概要
- Fortinet FortiWeb の深刻な脆弱性が、積極的に悪用されている。
- 公開された PoC エクスプロイトを利用する攻撃者が、Web シェルを設置してシステムを制御している。
- 数十のシステムへの侵害が確認されており、早急なパッチ適用が不可欠となっている。
7月15日 (火) に Shadowserver Foundation が発表した内容は、侵害が確認された FortiWeb インスタンスが 77 件あり、前日の 85 件から僅かに減少したことだ。同財団の指摘は、研究者による PoC エクスプロイト・コードが公開された 7月11日以降において、この脆弱性を悪用する活動が確認されているというものだ。
この脆弱性 CVE-2025-25257 は、FortiWeb の GUI に存在する深刻な SQLi の欠陥であり、CVSS スコアは 9.6 と評価されている。細工された HTTP リクエストを送信する、未認証のリモート攻撃者により、任意のコード/コマンド実行が可能となる。
Fortinet が提供するWAF 製品である FortiWeb は、企業や政府機関の Web アプリケーションおよび API を保護するものだ。この脆弱性は、FortiWeb と他の Fortinet 製品を統合する、FortiWeb Fabric Connector コンポーネントに起因している。
GMO Cybersecurity の研究者 Kentaro Kawane により発見された、この脆弱性に対して、Fortinet は 7月8日に情報を公開し、修正パッチをリリースした。しかし 7月11日に WatchTowr と研究者たちが PoC エクスプロイトを公開したことで、未パッチのシステムに対するリスクが急速に増大している。
このエクスプロイトが示すのは、SQLi を介した Web シェルの埋め込み/リバース・シェルのオープンなどによる、持続的なアクセス権を攻撃者が得る手法である。そして、現時点で試行されている一連の攻撃は、公開されたエクスプロイトに対する、脅威アクターによる迅速な武器化を実証するものとなっている。
Shadowserver によると、7月15日の時点で、インターネット上に公開されている FortiWeb 管理インターフェイスが、新たに 223 件も確認されているという。これらのシステムが未パッチの場合には、侵害されるリスクが高いと想定される。
侵害されたインスタンスの国別の分布では、米国が最多の 40 件であり、それに続くのは、オランダ/シンガポール/英国となっている。
ユーザーに対して Fortinet が強く推奨するのは、FortiWeb のバージョン 7.6.4/7.4.8/7.2.11/7.0.11 以降への、速やかなアップグレードである。また、パッチの迅速な適用が困難な環境においては、HTTP/HTTPS の管理インターフェイスの無効化により攻撃ベクターを遮断する、暫定的な対策を講じるよう呼びかけている。
Fortinet の FortiWeb で発見された深刻な脆弱性 CVE-2025-25257 が、実際の攻撃で悪用されています。数日前に公開された PoC を悪用する攻撃者が、Web シェルを仕込むというケースが確認されているようです。ご利用のチームは、十分に ご注意ください。よろしければ、CVE-2025-25257 で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.