FortiWeb Authentication Bypass Vulnerability Exploited – Script to Detect Vulnerable Appliances
2025/11/14 CyberSecurityNews — Fortinet の FortiWeb WAF (Web Application Firewall) に存在する、深刻な認証バイパスの脆弱性 CVE-2025-52970 を脅威アクターたちが積極的に悪用しており、防御側は警戒を強めている。watchTowr Labs の研究者たちがリリースした検出アーティファクト生成スクリプトは、ユーザー環境をスキャンして脆弱な FortiWeb アプライアンスを検出し、迅速にリスクを軽減するためのものだ。
この脆弱性 CVE-2025-52970 (CVSS:7.7) は、FortiWeb における不適切なパラメータ処理に起因するものだ。この欠陥を悪用する未認証のリモート攻撃者は、細工されたリクエストを介して既存のユーザーになりすまし、ログインできるようになる。
攻撃の前提として、デバイスに関する非公開の知識が必要となるが、攻撃が成功すると、影響を受けるシステム上での権限昇格やリモート・コード実行などが可能になってしまう。
すでに Fortinet は、バージョン 8.0.2 をリリースし、この問題に対処している。その一方で、2025年8月に部分的な PoC が提供されたことで、公開されている FortiWeb インスタンスを無差別に狙う攻撃が急増しているという。同社は、数十件の侵害を報告しており、エクスプロイト攻撃キャンペーンが進行しているため、速やかなパッチ適用が急務であると強調している。
GitHub の watchTowr-vs-Fortiweb-AuthBypass でホストされている、WatchTowr Labs のオープンソース・ツールは、このバイパス・メカニズムをシミュレートすることで検出を簡素化する。
この Python スクリプトは、一意のユーザー名とパスワード (例:35f36895) を生成し、”python watchTowr-vs-Fortiweb-AuthBypass.py 192.168.1.99″ などのエクスプロイト・ペイロードをターゲット IP に送信する。
このテストが成功すると、一時的なユーザーの作成と脆弱性の確認が行われ、管理者に対して修正を促す警告が発せられる。Sina Kheirkhah (@SinSinology) と Jake Knott (@inkmoro) により作成されたスクリプトは、FortiWeb バージョン 8.0.2 未満を対象としており、詳細は FortiGuard Labs PSIRT から入手できる。
ユーザー組織にとって必要なことは、インターネットに接続されたアプライアンスのスキャン/パッチの適用/異常なログイン監視を優先して実施することである。サプライチェーン攻撃が進化するにつれて、皮肉にも WAF が侵入口となる脅威が増えているため、このようなツールによるプロアクティブな防御が推奨される。
この脆弱性は、FortiWeb のパラメータ処理の不備に起因します。本来はチェックされるべき情報がすり抜けてしまい、既存ユーザーへの成りすましが成立してしまいます。WAF 自体が侵入の入口になってしまうところが、とても厄介です。また、PoC の公開により攻撃が一気に現実的になり、インターネット越しに脆弱なバージョンを狙い撃ちできる状況になっていると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、CVE-2025-52970 で検索を、お試しください。
IoT OT Security News 
You must be logged in to post a comment.