CISA、FortiWebのゼロデイ「CVE-2025-58034」をKEVに追加

セキュリティニュース

投稿日時: 更新日時:

CISA、FortiWebのゼロデイ「CVE-2025-58034」をKEVに追加

米サイバーセキュリティ・インフラセキュリティ庁(CISA)は2025年11月18日、Fortinet FortiWeb の OS コマンドインジェクション脆弱性(CVE-2025-58034)Known Exploited Vulnerabilities(KEV) カタログに追加しました。実際の悪用が確認されていることから、連邦政府機関向けに通常より短い「1週間」の是正期限を推奨。一般組織にも、最優先でのパッチ適用と攻撃面の縮小を強く促しています。

脆弱性の要点(CVE-2025-58034)

  • 種別:OS コマンドインジェクション(CWE-78)

  • 影響認証済み攻撃者が細工した HTTP リクエストや CLI コマンドを介し、基盤 OS 上で任意コード実行が可能

  • 状況:Fortinet が「in the wild(実地での悪用)」を確認

  • 想定被害:設定改ざん、特権アカウント作成、バックドア設置、横展開などのリスク

影響バージョンと修正バージョン

Fortinet は同日付のアドバイザリで対処版を公開済みです。該当する場合は即時更新してください。

系列 影響バージョン 対策(Solution)
FortiWeb 8.0 8.0.0 ~ 8.0.1 8.0.2 以降
FortiWeb 7.6 7.6.0 ~ 7.6.5 7.6.6 以降
FortiWeb 7.4 7.4.0 ~ 7.4.10 7.4.11 以降
FortiWeb 7.2 7.2.0 ~ 7.2.11 7.2.12 以降
FortiWeb 7.0 7.0.0 ~ 7.0.11 7.0.12 以降

報告者:Trend Micro(Trend Research)の Jason McFadyen 氏。Fortinet は責任ある開示として謝意を表明。

CISAの勧告と関連指令

  • KEV 追加の根拠:アクティブ悪用の証拠に基づく登録(BOD 22-01 に基づく運用)。

  • 是正期限1週間の短縮スケジュールを推奨。

  • 推奨対策BOD 23-02を参照し、インターネットに露出した管理インターフェースの攻撃面縮小(外部公開の禁止、到達制御、MFA・踏み台経由接続の徹底など)を即時実施。

  • 対象:BOD 22-01 は連邦政府機関(FCEB)が義務対象だが、すべての組織へ優先的な是正を強く推奨

迅速な実務対応チェックリスト

  1. バージョン判定と即時アップデート:上表の対策版へ更新。

  2. 管理プレーンの遮断:管理GUI/API/CLIへの外部到達を原則禁止(ゼロトラスト到達制御)。

  3. 認証強化:管理者アカウントへMFA適用、不要アカウントの停止。

  4. ログ監査:直近の新規管理者作成、設定変更、異常リクエスト有無を確認。

  5. 侵害前提の確認:不審なプロセス・スケジュール・改ざんの有無、バックドア痕跡を点検。

  6. 攻撃面縮小の恒常化:BOD 23-02 に沿った運用基準(外部公開禁止、到達制御、監視)を標準に。

背景:FortiWebで続く緊急対応の文脈

今回の OS コマンドインジェクション(CVE-2025-58034)は、直近で問題化した 相対パストラバーサル由来のゼロデイ(CVE-2025-64446)とは技術的に別個の脆弱性です。

  • 58034認証後の API/CLI 経路で OS コード実行を許す欠陥。横展開・持続化に直結。

  • 64446:GUI 周りの相対パストラバーサルを梃子に、**管理者レベル権限の奪取(新規作成)**が報告され、初期侵入の敷居が低い点が特徴。CISA の KEV にも登録済みで、早期是正が求められてきました。

いずれも**「管理面を外部に晒さない」「パッチを即時適用」**という基本原則が最重要です。