CISA Warns of Fortinet FortiWeb OS Command Injection Vulnerability Exploited in the Wild
2025/11/19 CyberSecurityNews — Fortinet FortiWeb アプライアンスに影響を与える深刻な脆弱性について、Cybersecurity and Infrastructure Security Agency (CISA) が緊急警告を発した。この脆弱性は、現在、脅威アクターによる活発な攻撃で悪用されている。2025年11月18日に CISA は、脆弱性 CVE-2025-58034 を Known Exploited Vulnerabilities (KEV) カタログに追加し、影響を受ける製品を使用している組織に差し迫ったリスクが生じていることを警告した。
この脆弱性 CVE-2025-58034 は、CWE-78 に分類される OS コマンド・インジェクションの欠陥である。このセキュリティ上の欠陥を悪用する認証済みの攻撃者は、FortiWeb デバイスの基盤となるオペレーティング・システム上で不正なコードを実行できる。
深刻な OS コマンド・インジェクションの欠陥
特別に細工された HTTP リクエストまたは CLI コマンドを介して、この脆弱性の悪用に成功した攻撃者は、セキュリティ制御を回避してシステム・レベルの機能への直接アクセスを許可される。
この脆弱性を悪用する前提として認証が必要になるが、初期アクセスを取得した攻撃者が権限を昇格し、悪意のコードを実行できるという、深刻な脅威が生じている。
それにより、システム全体の侵害/データ窃取に加えて、ランサムウェアなどのマルウェアの侵入につながる可能性がある。
| CVE ID | Vulnerability | Affected Product | Impact | Exploit Prerequisites | Related CWE |
|---|---|---|---|---|---|
| CVE-2025-58034 | OS Command Injection | Fortinet FortiWeb | Unauthorized code execution | Authentication required | CWE-78 |
CISA は連邦政府機関に対して、2025年11月25日までにセキュリティ・パッチと緩和策を適用するよう義務付けているため、脆弱性を修正するための猶予期間がわずか7日間となっている。この指令は、拘束力のある運用指令 (BOD) 22-01 に準拠しており、それぞれの機関は期限内に既知の脆弱性に対処する必要がある。
Fortinet FortiWeb を使用している民間組織に対しても、ベンダーの指示に直ちに従うことが強く推奨される。すでに Fortinet は、管理者が遅滞なく実施すべきセキュリティ・アップデートと緩和のガイダンスを公開している。
適切なセキュリティ対策が実施されるまで、該当するクラウド・サービスのガイダンスに従うか、脆弱な製品の使用を中止することを、CISA は推奨している。
この記事からは、FortiWeb の OS コマンド・インジェクションの脆弱性 CVE-2025-58034 が、CISA KEV カタログに追加されました。攻撃には認証が必要とはいえ、一度侵入された後は権限昇格が容易で、システム全体が操作されてしまう点が深刻です。また、CISA が僅か1週間という短い期限を設定していることからも、攻撃の活発さと緊急度の高さが伝わってきます。ご利用のチームは、ご注意ください。よろしければ、Fortinet で検索を、お試しください。
IoT OT Security News 
You must be logged in to post a comment.