Webアプリケーションを攻撃から守るはずのWAFが、攻撃者の侵入口として悪用される。FortinetのFortiWebで確認された「CVE-2025-64446」は、そのような危険を抱える脆弱性です。
この脆弱性を悪用すると、認証されていない外部の攻撃者が、FortiWeb上で管理者権限の操作を実行できる可能性があります。
実際に確認された攻撃では、新しい管理者アカウントを不正に作成し、その後も機器へアクセスできる状態を残す動きが見つかっています。
Fortinetも実環境での悪用を確認しており、米国のサイバーセキュリティ・社会基盤安全保障庁(CISA)は、本脆弱性を「既知の悪用された脆弱性カタログ(KEV)」へ追加しました。
対象バージョンを利用している場合は、修正版へアップグレードするだけでなく、すでに不正なアカウントや設定変更が残されていないかまで確認する必要があります。
FortiWebのCVE-2025-64446とは
FortiWebは、WebサイトやWeb APIへの通信を監視し、SQLインジェクションやクロスサイトスクリプティングなどの攻撃を検知・遮断するWebアプリケーションファイアウォール(WAF)です。
CVE-2025-64446は、FortiWebの管理用GUIに存在する相対パストラバーサルの脆弱性です。
細工されたHTTPまたはHTTPSリクエストを送信することで、認証されていない攻撃者が管理者権限のコマンドを実行できる可能性があります。
| 項目 | 内容 |
|---|---|
| CVE番号 | CVE-2025-64446 |
| 対象製品 | Fortinet FortiWeb |
| 脆弱性の種類 | 相対パストラバーサル |
| CWE | CWE-23 |
| 深刻度 | Critical |
| CVSS v3 | 9.4 |
| 攻撃に必要な認証 | 不要 |
| 想定される影響 | 管理者権限での操作、不正な管理者アカウントの作成、機器の侵害 |
| 悪用状況 | 実環境での悪用を確認済み |
攻撃に事前の認証が必要なく、ネットワーク経由で悪用できる点が大きな問題です。
特に、FortiWebの管理インターフェースをインターネットへ公開している環境では、緊急度を上げて対応する必要があります。
攻撃では管理者アカウントが不正に作成された
セキュリティ企業watchTowrなどの調査では、攻撃者が脆弱なFortiWebへ細工したHTTPリクエストを送り、新しい管理者アカウントを作成する動きが確認されています。
管理者アカウントを不正に追加する目的は、一度だけ管理機能を実行することではありません。
攻撃後もFortiWebへログインできる状態を残し、継続的なアクセスを確保するための永続化手段と考えられます。
正規の管理機能を通じて追加されたアカウントは、一般的なマルウェアファイルのように、ウイルス対策製品で検知できるとは限りません。
管理者がアカウント一覧や設定変更履歴を確認しなければ、侵入に気づかないまま運用を続けてしまう可能性があります。
WAF自体を侵害されることの危険性
FortiWebは、インターネットとWebアプリケーションの間に配置されることが多い製品です。
そのため、機器自体が侵害された場合、管理画面の乗っ取りだけでは済まない可能性があります。
- WAFのセキュリティポリシーを変更される
- 不正な管理者アカウントを追加される
- 通信やネットワーク構成に関する情報を取得される
- 検知・遮断機能を弱められる
- ログや監視設定を変更される
- 内部環境へ侵入するための足掛かりとして利用される
WAFを導入していることで安心し、そのWAF自体の管理画面やアップデート状況が十分に監視されていないケースは珍しくありません。
今回のような脆弱性では、「セキュリティ製品だから安全だろう」という認識が、かえって対応の遅れにつながります。
パストラバーサルと認証回避が組み合わされた攻撃
Fortinetの公式アドバイザリでは、本脆弱性を相対パストラバーサルとして説明しています。
一方、watchTowrの技術解析では、パストラバーサルによって管理用プログラムへ到達し、HTTPリクエスト内の情報を利用して管理者になりすます処理が組み合わされていると報告されています。
管理用プログラムへ本来とは異なる経路で到達する
FortiWebには、管理機能の処理を担う「fwbcgi」と呼ばれるプログラムがあります。
攻撃者は、管理APIへのURLに相対パスを含めることで、本来の処理経路から外れ、fwbcgiへ到達します。
リクエスト内の情報で管理者になりすます
watchTowrの解析によると、fwbcgiはHTTPリクエストに含まれる「CGIINFO」というヘッダーを読み取り、その内容を基にユーザーの実行コンテキストを設定します。
CGIINFOの値はBase64形式でエンコードされており、デコード後のJSONデータから、次のような情報が読み取られます。
- ユーザー名
- プロファイル名
- 仮想ドメイン
- ログイン名
これらの値は、リクエストの送信者がどのユーザーとして処理されるかを決めるために使用されます。
攻撃者が管理者アカウントを示す情報を設定すると、外部から送信されたリクエストが、管理者による操作として処理される可能性があります。
通常であれば、管理者として操作する前に、パスワードなどを用いた本人確認が必要です。
しかし、今回解析された処理では、クライアント側から指定された情報を基に権限が引き継がれるため、正規の認証を経ずに管理機能を実行できる状態になります。
その結果、新しいローカル管理者の作成を含む、権限の高い操作が可能になります。
なぜ侵害に気づきにくいのか
この脆弱性で特に注意したいのは、攻撃者がマルウェアを設置しなくても、製品が備えている正規の管理機能を利用してアクセス経路を残せる点です。
不正なアカウントも正規の管理者として表示される
攻撃によって作成された管理者アカウントも、FortiWeb上ではローカル管理者として表示されます。
アカウント名がテスト用や運用担当者用に見える場合、管理者が一覧を見ただけでは、不正なアカウントだと判断できない可能性があります。
アカウントの名称だけで判断せず、次の情報とあわせて確認することが重要です。
- アカウントの作成日時
- アカウントの作成元
- 接続元IPアドレス
- ログイン履歴
- 実行された管理操作
- 付与されている権限
- 信頼済みホストの設定
アップデートだけでは侵入の痕跡が消えない
修正版へアップデートすれば、その後に同じ脆弱性を悪用されるリスクは抑えられます。
しかし、アップデート前に作成された不正な管理者アカウントや、変更された設定が自動的に削除・復旧されるわけではありません。
すでに攻撃を受けている可能性がある環境では、パッチ適用と侵害調査を別の作業として実施する必要があります。
影響を受けるFortiWebのバージョン
Fortinetが公表した影響バージョンと修正版は、次のとおりです。
| 製品系列 | 影響を受けるバージョン | 修正版 |
|---|---|---|
| FortiWeb 8.0 | 8.0.0~8.0.1 | 8.0.2以降 |
| FortiWeb 7.6 | 7.6.0~7.6.4 | 7.6.5以降 |
| FortiWeb 7.4 | 7.4.0~7.4.9 | 7.4.10以降 |
| FortiWeb 7.2 | 7.2.0~7.2.11 | 7.2.12以降 |
| FortiWeb 7.0 | 7.0.0~7.0.11 | 7.0.12以降 |
| FortiWeb 6.4 | 影響なし | 対応不要 |
FortiAppSec Cloudは、本脆弱性の影響を受けないとされています。
使用しているバージョンだけで判断せず、Fortinetのサポート情報や、契約している販売店・保守事業者からの案内も確認してください。
FortiWeb利用組織が優先して行うべき対応
修正版へアップグレードする
影響を受けるバージョンを使用している場合は、対応する修正版以降へアップグレードしてください。
管理インターフェースを社内ネットワークに限定している場合でも、アップグレードが不要になるわけではありません。
内部端末やVPN接続環境が侵害された場合には、脆弱な管理インターフェースへ到達される可能性があります。
アップグレードまで管理用HTTP・HTTPSを無効化する
すぐにアップグレードできない場合、Fortinetはインターネットに面したインターフェースで、管理用のHTTPまたはHTTPSアクセスを無効化するよう案内しています。
管理インターフェースを内部ネットワークだけから利用できるようにすれば、リスクは大きく低下します。
ただし、これは一時的な回避策であり、脆弱性そのものを修正するものではありません。
管理者アカウントを確認する
アカウント一覧を確認し、運用担当者が把握していない管理者アカウントが追加されていないかを調査します。
- 見覚えのないローカル管理者が存在しないか
- 最近追加された管理者アカウントがないか
- 不自然な名称のテスト用アカウントがないか
- 必要以上に広い管理権限が付与されていないか
- 信頼する接続元IPアドレスの設定が変更されていないか
不審なアカウントを見つけた場合、すぐに削除するだけでは、調査に必要な情報を失う可能性があります。
可能であれば、作成日時、ログイン履歴、接続元、実行された操作を記録し、証跡を保全してから対応してください。
設定変更とアクセスログを調査する
Fortinetは、予期しない設定変更や不正な管理者アカウントの追加がないか、設定とログを確認するよう推奨しています。
特に、次のような痕跡を確認します。
- 管理者アカウントの作成・変更
- 通常とは異なる送信元からの管理画面アクセス
- 管理APIに対する不審なPOSTリクエスト
- 相対パスを含む不自然なURLへのアクセス
- fwbcgiを標的とするリクエスト
- CGIINFOヘッダーを含む不審な通信
- WAFポリシーやネットワーク設定の変更
- ログ設定や監視設定の無効化
侵害が疑われる場合は認証情報も見直す
不正な管理者アカウントや設定変更が確認された場合は、FortiWebをネットワークから隔離し、ログや設定情報を保全したうえで調査を進めます。
CyberCrewの予防・診断側の視点では、影響範囲を確認したうえで、次の認証情報の変更も検討すべきです。
- FortiWebの管理者パスワード
- APIで使用している認証情報
- FortiWebと連携するシステムの認証情報
- 同じパスワードを使用している他の機器のアカウント
- 保守事業者や外部管理者に発行したアカウント
機器の完全な侵害が疑われる場合は、不審なアカウントを削除するだけでなく、信頼できる設定やイメージからの再構築が必要になる場合があります。
CISAも既知の悪用された脆弱性として指定
CISAは2025年11月14日、CVE-2025-64446をKEVカタログへ追加しました。
米国連邦政府の行政機関に対しては、2025年11月21日までにベンダーの案内に沿った対策を実施するよう求めていました。
KEVへの追加は、脆弱性が理論上悪用できるだけではなく、実際の攻撃で利用されていることを示します。
日本企業に同じ期限が直接適用されるわけではありませんが、脆弱性対応の優先順位を判断するうえで重要な情報です。
脆弱性の公表前に修正されていた可能性
watchTowrは、FortiWeb 8.0.2ではこの問題が修正されていた一方、当初のリリースノートには脆弱性への言及がなかったと報告しています。
脆弱性の内容を明示せずに修正だけを行う、いわゆるサイレントパッチには、防御側の対応判断を遅らせる問題があります。
アップデートが公開されていても、管理者が通常の不具合修正だと認識すれば、緊急性を判断できません。
一方、攻撃者は新旧バージョンの差分を比較し、修正された箇所から脆弱性を分析できる場合があります。
Fortinetはその後、CVE-2025-64446を割り当てたPSIRTアドバイザリを公開し、影響バージョン、修正版、回避策、実環境での悪用を公表しています。
守る装置も外部公開資産として管理する
WAF、VPN装置、ファイアウォールなどのセキュリティ製品は、企業の重要な防御境界に配置されます。
その一方で、管理インターフェースや製品自体に脆弱性があれば、攻撃者にとって価値の高い侵入口になります。
特に認証前に悪用できる脆弱性では、多要素認証や強固な管理者パスワードだけでは攻撃を防げない場合があります。
対象バージョンを使用していないか。管理画面がどこからアクセス可能なのか。見覚えのないアカウントや設定変更がないか。
アップグレードの適用だけで終わらせず、侵害の有無まで含めて確認することが重要です。
セキュリティ機器を導入していることと、その機器自体が安全に運用されていることは別の話です。
今回の事例をきっかけに、社内の境界機器や外部公開資産の管理状況を一度見直しておく価値があります。
Now-Patched Fortinet FortiWeb Flaw Exploited in Attacks to Create Admin Accounts
Cybersecurity researchers are sounding the alert about an authentication bypass vulnerability in Fortinet Fortiweb Web Application Firewall (WAF) that could allow an attacker to take over admin accounts and completely compromise a device.
“The watchTowr team is seeing active, indiscriminate in-the-wild exploitation of what appears to be a silently patched vulnerability in Fortinet’s FortiWeb product,” Benjamin Harris, watchTowr CEO and founder, said in a statement.
“Patched in version 8.0.2, the vulnerability allows attackers to perform actions as a privileged user – with in-the-wild exploitation focusing on adding a new administrator account as a basic persistence mechanism for the attackers.”
The cybersecurity company said it was able to successfully reproduce the vulnerability and create a working proof-of-concept (Poc). It has also released an artifact generator tool for the authentication bypass to help identify susceptible devices.
According to details shared by Defused and security researcher Daniel Card of PwnDefend, the threat actor behind the exploitation has been found to send a payload to the “/api/v2.0/cmdb/system/admin%3F/../../../../../cgi-bin/fwbcgi” endpoint by means of an HTTP POST request to create an admin account.
Some of the admin usernames and passwords created by the payloads detected in the wild are below –
- Testpoint / AFodIUU3Sszp5
- trader1 / 3eMIXX43
- trader / 3eMIXX43
- test1234point / AFT3$tH4ck
- Testpoint / AFT3$tH4ck
- Testpoint / AFT3$tH4ckmet0d4yaga!n
watchTowr Labs researcher Sina Kheirkhah, in a follow-up analysis, said the vulnerability is actually a combination of two flaws: a path traversal bug within the HTTP request to reach the “fwbcgi” executable (“/api/v2.0/cmdb/system/admin%3F/../../../../../cg1-bin/fwbcgi”) and an authentication bypass via the contents of the HTTP request header CGIINFO.
The “fwbcgi” binary includes a check to confirm if the body of the incoming HTTP request is a valid JSON blob, as well as invokes a function named “cgi_auth(),” which “provides a mechanism to impersonate any user based on data supplied by the client.”
This unfolds over four steps –
- Extract a CGIINFO header from the HTTP request
- Decode the Base64-encoded value
- Parse the result as JSON
- Iterate over the all JSON keys in the blob to extract four attributes: username, profname (profile name), vdom (virtual domain), and loginname (login identifier)
In other words, these fields passed via the HTTP request instruct “fwbcgi” the user the sender of the request wishes to impersonate. In the case of the built-in “admin” account, these values are consistent across devices and cannot be changed: username (“admin”), profname (“prof_admin”), vdom (“root”), and loginname (“admin”).
As a result, an attacker can leverage the path traversal vulnerability by sending a specifically crafted HTTP request containing a CGIINFO header that allows them to impersonate any user, including an admin, by simply supplying the aforementioned values and inheriting their privileges.
“That means an attacker can perform any privileged action simply by supplying the appropriate JSON structure,” Kheirkhah explained, adding that the vulnerability could be weaponized to create new local users with elevated privileges.
The origins and identity of the threat actor behind the attacks remain unknown. The exploitation activity was first detected early last month. As of writing, Fortinet has not assigned a CVE identifier or published an advisory on its PSIRT feed.
Rapid7, which is urging organizations running versions of Fortinet FortiWeb that predate 8.0.2 to address the vulnerability on an emergency basis, said it observed an alleged zero-day exploit targeting FortiWeb was published for sale on a popular black hat forum on November 6, 2025. It’s currently not clear if it’s the same exploit.
“While we wait for a comment from Fortinet, users and enterprises are now facing a familiar process now: look for trivial signs of prior compromise, reach out to Fortinet for more information, and apply patches if you haven’t already,” Harris said. “That said, given the indiscriminate exploitation observed […], appliances that remain unpatched are likely already compromised.”
Update#
Fortinet is now tracking the vulnerability as CVE-2025-64446 (CVSS score: 9.1), describing it as a relative path traversal vulnerability in FortiWeb that may allow an unauthenticated attacker to execute administrative commands on the system via crafted HTTP or HTTPS requests. The company also acknowledged that it has “observed this to be exploited in the wild.”
The issue affects the following versions –
- FortiWeb 8.0.0 through 8.0.1 (Upgrade to 8.0.2 or above)
- FortiWeb 7.6.0 through 7.6.4 (Upgrade to 7.6.5 or above)
- FortiWeb 7.4.0 through 7.4.9 (Upgrade to 7.4.10 or above)
- FortiWeb 7.2.0 through 7.2.11 (Upgrade to 7.2.12 or above)
- FortiWeb 7.0.0 through 7.0.11 (Upgrade to 7.0.12 or above)
As workarounds, users are advised to disable HTTP or HTTPS for internet-facing interfaces until patches can be applied. It’s also advised to review their configuration and review logs for unexpected modifications, or the addition of unauthorized administrator accounts.
“We are aware of this vulnerability and activated our PSIRT response and remediation efforts as soon as we learned of this matter, and those efforts remain ongoing,” a spokesperson for the company told The Hacker News.
“Fortinet diligently balances our commitment to the security of our customers and our culture of responsible transparency. With that goal and principle top of mind, we are communicating directly with affected customers to advise on any necessary recommended actions. We urge our customers to refer to the advisory and follow the guidance provided for CVE FG-IR-25-910.”
The U.S. Cybersecurity and Infrastructure Security Agency (CISA) has also added the vulnerability to its Known Exploited Vulnerabilities (KEV) catalog, requiring Federal Civilian Executive Branch (FCEB) agencies to apply the fixes by November 21, 2025.
“Limiting access to HTTP/HTTPS management interfaces to internal networks is a best practice that reduces, but does not eliminate, risk; upgrading the affected systems remains essential and is the only way to fully remediate this vulnerability,” the agency said in a separate advisory.
In a similar alert, cybersecurity company VulnCheck urged FortiWeb customers to reach out to the supplier for guidance on threat hunting and other indicators of compromise (IoCs). It also criticized Fortinet’s security by obscurity approach.
“Silently patching vulnerabilities is an established bad practice that enables attackers and harms defenders, particularly for devices and systems (including FortiWeb) that have previously been exploited in the wild,” VulnCheck’s Caitlin Condon said. “When popular technology vendors fail to communicate new security issues, they are issuing an invitation to attackers while choosing to keep that same information from defenders.”
(The story was amended after publication to include a response from Fortinet and details of CISA’s advisory.)
投稿者プロフィール
-
Offensive Security Engineer
15年以上の実績を持つ国際的なホワイトハッカーで、日本を拠点に活動しています。「レッドチーム」分野に精通し、脆弱性診断や模擬攻撃の設計を多数手がけてきました。現在はCyberCrewの主要メンバーとして、サイバー攻撃の対応やセキュリティ教育を通じ、企業の安全なIT環境構築を支援しています。
主な保有資格:
● Certified Red Team Specialist(CyberWarFare Labs / EC-Council)
● CEH Master(EC-Council)
● OffSec Penetration Tester(Offensive Security)
