U.S. CISA adds Fortinet FortiWeb flaw to its Known Exploited Vulnerabilities catalog
2025/11/15 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Fortinet FortiWeb の脆弱性 CVE-2025-64446 (CVSS:9.1) を Known Exploited Vulnerabilities (KEV) カタログに追加した。この脆弱性は、Fortinet FortiWeb 8.0.0~8.0.1/7.6.0~7.6.4/7.4.0~7.4.9/7.2.0~7.2.11/7.0.0~7.0.11 に存在する相対パス・トラバーサルを原因とするものだ。この脆弱性を悪用する攻撃者は、脆弱なデバイスに細工した HTTP/HTTPS リクエストを送信することで、標的システム上で管理コマンドを実行できる。
Fortinet のアドバイザリには、「FortiWeb の相対パス・トラバーサル脆弱性 [CWE-23] により、認証されていない攻撃者が細工した HTTP または HTTPS リクエストを介してシステム上で管理コマンドを実行できる可能性がある」と記載されている。さらに Fortinet は、この脆弱性が実環境で悪用されていることを確認している。
Fortinet が推奨するのは、アップグレードが完了するまでの間は、インターネット接続されたインターフェイス上の HTTP/HTTPS を無効化することだ。この管理アクセスを社内に限定すれば、リスクは大幅に軽減される。
拘束的運用指令 (BOD) 22-01:既知の悪用された脆弱性による深刻なリスクを軽減するために、FCEB 機関は指定された期限までに特定された脆弱性に対処し、攻撃からネットワークを保護する必要がある。CISA は連邦政府機関に対して、2025年11月21日までに、これらの脆弱性を修正するよう命じている。
専門家たちは民間組織に対しても、このカタログを確認し、自組織のインフラ内の脆弱性に対処することを推奨している。
今週、研究者たちが警告したのは、Fortinet FortiWeb WAF に存在する相対パス・トラバーサルと認証バイパスの脆弱性により、デバイス全体が乗っ取られる可能性があることだ。それを受けて、Fortinet はバージョン 8.0.2 をリリースして CVE-2025-64446 に対処した。
このセキュリティ脆弱性を悪用する攻撃者は FortiWeb デバイスに侵入し、完全な管理者権限を取得できる。Defused がハニーポットで実際の攻撃試行を捕捉し、2025年10月6日に PoC を公開したことで、この問題が明らかになった。
その一方で watchTowr Labs は、 FortiWeb の脆弱性を確認し、X で PoC 動画を公開した。同チームは、FortiWeb 認証バイパス・アーティファクト・ジェネレータというツールもリリースしている。このツールは、ランダムな 8 文字のユーザー名で管理者アカウントを作成し、脆弱性の挙動を検証するためのものである。
Defused と研究者 Daniel Card は、攻撃者が “/api/v2.0/cmdb/system/admin%3F/../../../../../cgi-bin/fwbcgi” 宛に細工した HTTP POST リクエストを送信し、新しい管理者アカウントを作成することで、この脆弱性を悪用していると報告している。
Daniel Card は、「この脆弱性に関する情報は既に公開され、インターネット上で拡散されている。そのため、どの程度まで情報を共有すべきかについては、常に懸念が存在する。すべての詳細を記述しないが、検出ロジックの検証に役立つ範囲の情報は提供する。他の誰かが、さらに情報を提供するのは自由であり、それは各自の判断による」と説明している。
攻撃者は、HTTP POST リクエストを介して、以下の URL エンドポイントにペイロードを送信しているとみられる。
/api/v2.0/cmdb/system/admin%3F/../../../../../cgi-bin/fwbcgi
このペイロードには、ユーザー・アカウントを作成するための情報が含まれている。
Card は、ペイロードから以下の認証情報を抽出している。現時点において、この攻撃の背後にいる人物は特定されていない。
| Username | Password |
|---|---|
| Testpoint | AFodIUU3Sszp5 |
| trader1 | 3eMIXX43 |
| trader | 3eMIXX43 |
| test1234point | AFT3$tH4ck |
| Testpoint | AFT3$tH4ck |
| Testpoint | AFT3$tH4ckmet0d4yaga!n |
FortiWeb の相対パス・トラバーサルの脆弱性が、CISA KEV に登録されました。この脆弱性が悪用されると、管理コマンド実行や認証バイパスまで許されてしまう点に大きな問題があります。細工した HTTP/HTTPS リクエストだけで管理者アカウントを作成できてしまう脆弱性であり、また、PoC や検証ツールが公開されたことで、実際の攻撃が現実味を増しているようです。ご利用のチームは、ご注意ください。よろしければ、CISA KEV で検索を、お試しください。
IoT OT Security News 
You must be logged in to post a comment.