Fortinet、FortiWeb「未認証管理者乗っ取り」ゼロデイ脆弱性を修正、既にサイバー攻撃への悪用事例あり(CVE-2025-64446)|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2025年11月17日更新日時: 2025年11月20日

2025年10月以降、Fortinet の WAF 製品 FortiWeb に、未認証のまま管理者権限で操作できる脆弱性が確認されました。11月14日に Fortinet が公式アドバイザリ（FG-IR-25-910）を公開し、脆弱性は CVE-2025-64446（CVSS 9.1） と採番されています。内容は GUI の相対パストラバーサルに起因し、細工した HTTP/HTTPS リクエストで管理コマンドが実行可能になるというものです。

PoCも公開され既にサイバー攻撃への悪用が指摘されており速やかなアップデートを推奨します。

別のゼロデイ：Fortinet FortiWebの新ゼロデイ脆弱性(CVE-2025-58034)、サイバー攻撃への悪用確認-Fortinetが緊急アップデートを公開

1 脆弱性の影響バージョンと解決版（公式）
2 概要
3 推奨する緊急対応
4 確認すべき痕跡（ハンティング観点）

脆弱性の影響バージョンと解決版（公式）

FortiWeb 8.0：8.0.0〜8.0.1 → 8.0.2 以上
FortiWeb 7.6：7.6.0〜7.6.4 → 7.6.5 以上
FortiWeb 7.4：7.4.0〜7.4.9 → 7.4.10 以上
FortiWeb 7.2：7.2.0〜7.2.11 → 7.2.12 以上
FortiWeb 7.0：7.0.0〜7.0.11 → 7.0.12 以上

概要

2025年10月初旬、セキュリティ企業のDefusedがFortiWeb 管理面に対し、未認証のリクエストで新規管理者アカウントが作成される挙動が観測され複数の研究者が再現を報告し、8.0.1 では成立、8.0.2 では不成立であることが検証されました。

残念ながら11月上旬、関連ゼロデイの売買投稿がダークウェブのforumで確認されました。

その後、11月14日、Fortinet が公式に CVE-2025-64446 を公表し、影響バージョンとアップグレード先、回避策を提示しました。Fortinet でも実環境での悪用を確認したとしています。

推奨する緊急対応

修正済みバージョンへアップグレード。
インターネット向けの HTTP/HTTPS 管理を無効化。管理面は内部のみで運用。
管理者アカウント・権限・信頼ホストの棚卸しと、見覚えのない設定の削除。
ログ相関の実施（WAF/GUI/リバプロ/OS など）と、初回侵入時刻・操作の特定。
パスワード・API キー・証明書・セッションの一斉ローテーション。
検知ルール追加（管理者追加・大量設定変更・異常地理からの管理到達）。

確認すべき痕跡（ハンティング観点）

管理者一覧に突発的に追加されたアカウントを確認（一般名やテスト名、全信頼ホスト 0.0.0.0/0 などの設定）。
管理面への /api/.../../../..../cgi-bin/fwbcgi を含むアクセス、または設定系エンドポイントへの不審な POST/GET。
WebSocket/CLI セッションの開始や、外部 IP からの管理ログイン試行。
直前に不審な HTTP リクエストがあり、直後に管理設定の変更イベントが記録されている連続事象。