出典: Security NEXT – https://www.security-next.com/177191
米当局、「FortiWeb」の脆弱性悪用に注意喚起
Fortinetのウェブアプリケーションファイアウォール(WAF)製品「FortiWeb」に深刻な脆弱性が発見され、米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)が注意喚起を行いました。本記事では、この脆弱性の概要と影響、対策について解説します。
主要なポイント
- 脆弱性「CVE-2025-64446」の概要:FortiWebに存在するパストラバーサルの脆弱性で、細工されたリクエストを通じて管理者権限でのコマンド実行が可能になる恐れがあります。
- 影響範囲の広さ:FortiWebの複数バージョン(8.0、7.6、7.4、7.2、7.0など)に影響し、幅広いユーザーがリスクにさらされています。
- 重要度の高さ:共通脆弱性評価システム(CVSSv3.1)でスコア9.8の「クリティカル」評価を受けており、即時の対応が求められています。
- 米当局の対応:CISAは米国内の行政機関に対し、2025年11月21日までに対策を講じるよう指示し、異常検知時の報告も義務付けています。
- Fortinetの対応:修正版のアップデート提供とともに、不正な管理者アカウントの追加や予期しない設定変更の有無をログで確認するよう呼びかけています。
技術的な詳細や背景情報
パストラバーサル(Path Traversal)とは、攻撃者がファイルパスの指定を巧妙に操作し、本来アクセスできないシステムのファイルやディレクトリにアクセスする攻撃手法です。今回の脆弱性「CVE-2025-64446」は、この手法を利用してFortiWebの管理者権限を奪い、任意のコマンドを実行できる点が特徴です。
FortiWebはウェブアプリケーションファイアウォールとして、ウェブアプリケーションへの攻撃を防ぐ重要な役割を担っています。したがって、この製品自体が攻撃対象となると、企業や組織のウェブセキュリティ全体が危険にさらされる可能性があります。
影響や重要性
この脆弱性は、FortiWebを利用する多くの組織にとって非常に深刻な問題です。攻撃者が管理者権限を取得すると、システムの完全な制御を奪われるリスクがあり、情報漏洩やサービス停止、さらには内部ネットワークへの侵入拡大など、多大な被害をもたらす恐れがあります。
また、CISAが「悪用が確認された脆弱性カタログ(KEV)」に追加し、行政機関に対して迅速な対応を求めていることからも、国家レベルでの警戒が必要な脆弱性であることがうかがえます。
まとめ
FortinetのFortiWebに存在するパストラバーサル脆弱性「CVE-2025-64446」は、管理者権限の奪取を許す非常に危険な問題です。利用者は速やかにFortinetが提供する修正版へアップデートを行い、不正アクセスの兆候がないかログや設定の確認を徹底する必要があります。今後もCISAなどの公的機関の情報に注意を払い、適切なセキュリティ対策を継続していくことが重要です。
