Fortinetが警告: FortiWebゼロデイCVE-2025-58034が悪用中

Source:https://www.bleepingcomputer.com/news/security/fortinet-warns-of-new-fortiweb-zero-day-exploited-in-attacks/

🛡 概要

FortinetはWebアプリケーションファイアウォール製品FortiWebにおけるゼロデイ脆弱性CVE-2025-58034の修正アップデートを公開し、実際の攻撃で悪用が確認されていると警告しました。本件はTrend Micro（研究者: Jason McFadyen）から報告され、認証済み攻撃者がOSコマンドインジェクションにより基盤OS上で不正コードを実行可能となる問題です。低複雑度・ユーザー操作不要の条件で悪用され、Trend Microは約2,000件の検出を観測しています。推奨対応は直ちに該当バージョンを最新に更新することです。

• 影響バージョンと修正先: FortiWeb 8.0.0–8.0.1 → 8.0.2以降 / 7.6.0–7.6.5 → 7.6.6以降 / 7.4.0–7.4.10 → 7.4.11以降 / 7.2.0–7.2.11 → 7.2.12以降 / 7.0.0–7.0.11 → 7.0.12以降
• 関連動向: 直近では別のFortiWebゼロデイCVE-2025-64446もサイレント修正後に広範に悪用され、CISAのKEVカタログに追加されています。

🔍 技術詳細

CVE-2025-58034はCWE-78（OSコマンドインジェクション）に分類され、認証済みの攻撃者が細工したHTTPリクエストまたはCLIコマンドを投入することで、FortiWeb基盤のOSコンテキストで任意コード実行を引き起こします。管理インターフェース（HTTP/HTTPS）や運用時のCLI操作が攻撃経路になり得るため、管理平面の露出度や認証情報の堅牢性がリスクを左右します。実運用上は、まず有効な資格情報の取得（情報漏えい・パスワード使い回し・ブルートフォース等）により認証を突破し、その後コマンドインジェクションで権限を拡大、設定改ざん・ポリシーバイパス・バックドア設置・外部C2への通信開始といった一連の行為が可能になります。

また、CVE-2025-64446ではHTTP POST経由で新規の管理者アカウントを作成される事例が観測されています。これにより恒久的な持続化が容易になり、痕跡消去や設定変更の反復が可能になります。過去にはFortiSIEMにおけるコマンドインジェクション（CVE-2025-25256、公開エクスプロイトあり）や、FortiOS SSL VPNを標的にした重大脆弱性（CVE-2022-42475、CVE-2023-27997）を国家系・犯罪系双方の脅威アクターが悪用しており、アプライアンス製品が初期侵入および横展開の起点となる傾向が続いています。

CVSS情報（判明分/執筆時点）: CVE-2025-58034/64446/25256は未公表。CVE-2022-42475はCVSS 9.8（Critical）、CVE-2023-27997はCVSS 9.2（Critical）が広く参照されています。

⚠ 影響

• WAFの信頼崩壊: ポリシー無効化・例外乱用により下流のWebアプリを無防備化
• 持続化・横展開: 管理者アカウントの不正作成やスクリプト配置による永続化、管理ネットワークへのピボット
• 情報漏えい: 証明書/秘密鍵・セッション情報・設定バックアップの窃取
• 事業影響: Webサービス停止、ブランド毀損、規制対応コストの増大

🛠 対策

1. 緊急パッチ適用: 上記の修正バージョンへ直ちに更新。停止を避ける場合は短時間メンテナンス枠を確保し段階展開。
2. 管理面の閉域化: 管理GUI/CLIはVPN配下とし、ソースIP許可リスト化・MFA必須化。
3. 認証強化と棚卸し: 全管理者のパスワード即時ローテーション、不要アカウント削除、APIキー再発行。
4. 設定・整合性監査: 直近30～60日のポリシー変更履歴、署名セット、有効/無効化の差分を確認。
5. 侵害痕跡確認: 新規/不審な管理者作成、異常なPOSTリクエストやCLI実行記録、未知のスケジュール/スクリプト有無を点検。
6. 代替緩和: 直ちに更新できない場合、公開管理面の遮断、特定エンドポイントへのWAFカスタムルール設定、レート制御を暫定導入。

📌 SOC視点

• FortiWebイベント/監査ログの収集: 管理ログイン、失敗回数増、設定変更、ユーザー作成/権限変更イベントに注目。
• HTTPアクセスログ相関: 管理面向けエンドポイントへの高頻度POST、異常なユーザーエージェント、短時間での多機能操作。
• ネットワーク監視: FortiWebから外向きの新規通信先、管理セグメント外への横展開トラフィック、データ外送兆候。
• 時系列ハンティング: 2025-10-28以降（CVE-2025-64446の悪用報告期）と直近公開日以降のスパイクを重点確認。
• EDR補完: アプライアンス上にEDRは載らない前提で、隣接サーバのプロセス生成・新規接続先の異常検知で間接把握。

📈 MITRE ATT&CK

• TA0001 初期アクセス / T1078 Valid Accounts: 認証突破後に悪用されるため、正規資格情報の悪用が前提となりやすい。
• TA0002 実行 / T1059 Command and Scripting Interpreter: OSコマンドインジェクションにより任意コマンド実行が可能。
• TA0003 持続化 / T1136 Create Account: CVE-2025-64446で管理者アカウント作成が観測。
• TA0004 権限昇格 / T1068 Exploitation for Privilege Escalation: アプライアンス上で高権限実行を獲得。
• TA0011 遠隔操作 / T1105 Exfiltration/Ingress Tool Transfer（関連）: 外部C2への接続やツール搬入が起こり得る。

🏢 組織規模別助言

• 小規模（～50名）: ベンダー手順に沿い即時アップデート。管理面はVPN必須・IP制限。ログはクラウドSIEMに転送しアラート閾値を保守的に。
• 中規模（50～500名）: 変更管理の下で段階適用。バックアップ取得→更新→検証のRunbook化。全管理者のMFA義務化と四半期のアクセス棚卸し。
• 大規模（500名～）: 冗長構成でローリングアップグレード。ゼロトラスト管理面、JITアクセス導入、攻撃シナリオに基づくレッドチーム/紫チーム演習を短期実施。

🔎 類似事例

• CVE-2025-64446: FortiWebのゼロデイ。インターネット公開機器で管理者アカウント作成の悪用が報告。CISA KEVに追加、米連邦機関に11/21までの対処指示。
• CVE-2025-25256: FortiSIEMのコマンドインジェクション。公開エクスプロイトが存在。
• CVE-2022-42475 / CVE-2023-27997: FortiOS SSL VPN重大脆弱性。国家系グループ（例: Volt Typhoon）が悪用し、軍事ネットワーク侵害事案が公表。

🧭 次の一手

1. 自社FortiWebの型番/バージョン棚卸し→本日公開の修正版へ即時更新。
2. 直近60日の管理ログ・設定差分・新規管理者作成の有無を確認し、異常があれば隔離・調査・証跡保全。
3. 管理面の閉域化・MFA・IP許可リスト化・認証情報ローテーションを標準化。
4. 公式PSIRTアドバイザリ/KEV更新の自動監視を有効化。