Fortinet、FortiWebゼロデイCVE-2025-64446大量悪用を修正

Source:https://www.bleepingcomputer.com/news/security/fortinet-confirms-silent-patch-for-fortiweb-zero-day-exploited-in-attacks/

🛡 概要

Fortinetは、FortiWebのGUIコンポーネントに存在した未認証で管理コマンドを実行可能な脆弱性（CVE-2025-64446）を静かに修正しました。10月上旬から野放しで悪用されており、CISAはKEV（既知悪用脆弱性）に追加し、米連邦機関へ11月21日までのパッチ適用を命じています。影響バージョンはFortiWeb 8.0.1以前（および同系の7.6/7.4/7.2/7.0の未更新版）で、8.0.2以降で修正済みです。本件は初期報告でパストラバーサル的挙動が指摘され、その後Fortinetが「パス混同（path confusion）」脆弱性として正式公表しました。CVSSはCVE-2025-64446について現時点で未公表、参考として過去のFortinet認証回避CVE-2022-40684はCVSS 9.8が公表されています。

🔍 技術詳細

攻撃はFortiWebの管理GUIにおけるリクエスト処理の「パス混同」を突くもので、細工したHTTP/HTTPSリクエストにより認証を経ずに管理系エンドポイントへ到達し、管理コマンドの実行やローカル管理者アカウントの作成が可能となります。観測事例では、/api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi へのPOSTを介して管理処理へ迂回・到達し、認証バイパスのうえで特権操作が実施されました。10月6日にDefusedが最初の攻撃波を観測し、PoCを公開。watchTowr Labsは検証とともに、防御側が脆弱機器を特定するための成果物生成ツール（FortiWeb Authentication Bypass Artifact Generator）をリリースしました。Rapid7は、公開PoCが8.0.2へ更新後は無効化されることを確認しています。Fortinetは10月28日に8.0.2を公開し、その後のアドバイザリでCVE-2025-64446として正式化。「認証なしで管理コマンド実行が可能」とし、インターネット露出した管理インターフェースに対する即時の保護を推奨しています。影響バージョンと解決策は以下の通りです。

• FortiWeb 8.0: 8.0.0〜8.0.1 → 8.0.2以上へ更新
• FortiWeb 7.6: 7.6.0〜7.6.4 → 7.6.5以上へ更新
• FortiWeb 7.4: 7.4.0〜7.4.9 → 7.4.10以上へ更新
• FortiWeb 7.2: 7.2.0〜7.2.11 → 7.2.12以上へ更新
• FortiWeb 7.0: 7.0.0〜7.0.11 → 7.0.12以上へ更新

関連として、Fortinet製品では過去に未認証の管理API悪用（CVE-2022-40684）や、FortiSIEMにおけるコマンドインジェクション（CVE-2025-25256）があり、いずれも攻撃者による外部公開サービスの初期侵入経路として多用されています。

⚠ 影響

攻撃者はWAF上で管理者権限を獲得し、WAFポリシー改変、悪性リダイレクトやトラフィック改ざん、認証情報の窃取やバックドア化（新規管理者作成）などを行えます。FortiWebはリバースプロキシ/インラインでアプリケーション手前に位置するため、横展開の踏み台としても高リスクです。CISAは「頻出の初期侵入ベクタ」として緊急対処を勧告しています。

🛠 対策

• 至急アップグレード：上記該当バージョンを、記載の修正版（例：8.0.2+）へ更新。
• 一時緩和：即時更新できない場合、インターネット向けのHTTP/HTTPS管理アクセスを無効化。管理アクセスは信頼ネットワーク/VPNに限定。
• 監査：新規・不審な管理者アカウント、設定の予期せぬ変更、管理GUI経由の操作履歴を精査。必要に応じてアカウント・APIトークンのローテーション。
• 境界保護：管理プレーン用の専用管理ネットワーク/ACL、ソースIP制限、MFAの徹底。
• 期限順守：米連邦機関は11月21日までに修正適用（CISA KEV）。

CVSS情報：CVE-2025-64446は未公表（2025-11-14時点）。CVE-2022-40684はCVSS 9.8（公表済み）。CVE-2025-25256は未公表。

📌 SOC視点

• ログ監視：FortiWebイベント/監査ログで、管理GUIアクセスの失敗/成功、設定変更（cmdb/system/adminの変更）、新規管理者作成イベント。
• HTTP観測：管理面への異常なPOSTや、/api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi などのパス混同を示す痕跡。
• ネットワーク：インターネットから管理ポートへの着信急増、未知UA/国からの連続試行。TLSフィンガープリンティング（JA3）やSNIでの特徴把握。
• 相関：新規管理者作成→短時間での広範な設定読み出し/変更→内部アプリへの不審トラフィック増の相関検知。
• 封じ込め：不審アカウントの即時無効化、管理面の一時遮断、直近バックアップからの設定検証・復元。

📈 MITRE ATT&CK

• TA0001 Initial Access / T1190 Exploit Public-Facing Application：管理GUIのパス混同を悪用して未認証で侵入。
• TA0003 Persistence / T1136.001 Create Account: Local Account：ローカル管理者アカウントを新規作成して持続化。
• TA0003/TA0005 Defense Evasion & Credential Access（補足）：有効化された管理権限で設定改変や認証情報閲覧が可能なため、二次的な防御回避・情報獲得に繋がる。
• TA0006 Credential Access / TA0008 Lateral Movement（可能性）：WAF上の権限を足掛かりに内部資産へ横展開。

🏢 組織規模別助言

• 小規模（〜50名）：ベンダー推奨版へ即時更新。管理面はVPN内に限定し、ログ監視はマネージドサービス活用も検討。
• 中規模（50〜500名）：変更管理の特例プロセスで緊急パッチを承認。SIEMで管理イベントの検知ルールを恒久化し、資産・バージョン台帳を整備。
• 大規模（500名以上）：全拠点のFortiWebを自動棚卸しし、修正版への段階適用と検証を並行。ゼロトラスト管理プレーン（管理面分離、MFA、JITアクセス）を実装。

🔎 類似事例

• CVE-2022-40684（FortiOS/FortiProxy/FortiSwitchManager認証回避）—広範に悪用、CVSS 9.8。
• CVE-2025-25256（FortiSIEMコマンドインジェクション）—公開エクスプロイトありと報告。
• CVE-2018-13379（Fortinet SSL VPNパストラバーサル）—資格情報窃取で大規模被害。

🧭 次の一手

1. 全FortiWebのバージョン棚卸しと露出状況の洗い出し。
2. 該当機器は修正版へ更新、不能時は管理HTTP/HTTPSの停止とアクセス制限。
3. 新規管理者・設定変更のログ監査、認証情報・APIキーのローテーション。
4. SIEM/IDSに検知シグネチャ（異常パス/管理イベント相関）を追加。
5. CISA KEVとベンダーアドバイザリを継続追跡し、是正が完了するまで経営レベルで監督。