米サイバーセキュリティ・インフラセキュリティ庁(CISA)は2025年11月18日、Fortinet FortiWeb の OS コマンドインジェクション脆弱性(CVE-2025-58034)を Known Exploited Vulnerabilities(KEV) カタログに追加しました。実際の悪用が確認されていることから、連邦政府機関向けに通常より短い「1週間」の是正期限を推奨。一般組織にも、最優先でのパッチ適用と攻撃面の縮小を強く促しています。
脆弱性の要点(CVE-2025-58034)
-
種別:OS コマンドインジェクション(CWE-78)
-
影響:認証済み攻撃者が細工した HTTP リクエストや CLI コマンドを介し、基盤 OS 上で任意コード実行が可能
-
状況:Fortinet が「in the wild(実地での悪用)」を確認
-
想定被害:設定改ざん、特権アカウント作成、バックドア設置、横展開などのリスク
影響バージョンと修正バージョン
Fortinet は同日付のアドバイザリで対処版を公開済みです。該当する場合は即時更新してください。
| 系列 | 影響バージョン | 対策(Solution) |
|---|---|---|
| FortiWeb 8.0 | 8.0.0 ~ 8.0.1 | 8.0.2 以降 |
| FortiWeb 7.6 | 7.6.0 ~ 7.6.5 | 7.6.6 以降 |
| FortiWeb 7.4 | 7.4.0 ~ 7.4.10 | 7.4.11 以降 |
| FortiWeb 7.2 | 7.2.0 ~ 7.2.11 | 7.2.12 以降 |
| FortiWeb 7.0 | 7.0.0 ~ 7.0.11 | 7.0.12 以降 |
報告者:Trend Micro(Trend Research)の Jason McFadyen 氏。Fortinet は責任ある開示として謝意を表明。
CISAの勧告と関連指令
-
KEV 追加の根拠:アクティブ悪用の証拠に基づく登録(BOD 22-01 に基づく運用)。
-
是正期限:1週間の短縮スケジュールを推奨。
-
推奨対策:BOD 23-02を参照し、インターネットに露出した管理インターフェースの攻撃面縮小(外部公開の禁止、到達制御、MFA・踏み台経由接続の徹底など)を即時実施。
-
対象:BOD 22-01 は連邦政府機関(FCEB)が義務対象だが、すべての組織へ優先的な是正を強く推奨。
迅速な実務対応チェックリスト
-
バージョン判定と即時アップデート:上表の対策版へ更新。
-
管理プレーンの遮断:管理GUI/API/CLIへの外部到達を原則禁止(ゼロトラスト到達制御)。
-
認証強化:管理者アカウントへMFA適用、不要アカウントの停止。
-
ログ監査:直近の新規管理者作成、設定変更、異常リクエスト有無を確認。
-
侵害前提の確認:不審なプロセス・スケジュール・改ざんの有無、バックドア痕跡を点検。
-
攻撃面縮小の恒常化:BOD 23-02 に沿った運用基準(外部公開禁止、到達制御、監視)を標準に。
背景:FortiWebで続く緊急対応の文脈
今回の OS コマンドインジェクション(CVE-2025-58034)は、直近で問題化した 相対パストラバーサル由来のゼロデイ(CVE-2025-64446)とは技術的に別個の脆弱性です。
-
58034:認証後の API/CLI 経路で OS コード実行を許す欠陥。横展開・持続化に直結。
-
64446:GUI 周りの相対パストラバーサルを梃子に、**管理者レベル権限の奪取(新規作成)**が報告され、初期侵入の敷居が低い点が特徴。CISA の KEV にも登録済みで、早期是正が求められてきました。
いずれも**「管理面を外部に晒さない」「パッチを即時適用」**という基本原則が最重要です。



がCISAのKEVカタログに追加:即時対応推奨-200x200.png)




