FortinetのWebアプリケーションファイアウォール「FortiWeb」に、認証を迂回して管理者権限を奪取できる重大な脆弱性が確認され、すでに攻撃が進行していると報告されています。攻撃者は細工したHTTPリクエストを送り、任意の管理者アカウントを作成することが可能とされています。本記事では、この脆弱性の概要、影響、そして日本企業が取るべき対策を整理します。
The Hacker News:Now-Patched Fortinet FortiWeb Flaw Exploited in Attacks to Create Admin Accounts
この記事のポイント
影響のあるシステム
- Fortinet FortiWeb 8.0.0〜8.0.1(8.0.2で修正)
- FortiWeb 7.6.0〜7.6.4(7.6.5で修正)
- FortiWeb 7.4.0〜7.4.9(7.4.10で修正)
- FortiWeb 7.2.0〜7.2.11(7.2.12で修正)
- FortiWeb 7.0.0〜7.0.11(7.0.12で修正)
- CVE-2025-64446(CVSS 9.1)
推奨される対策
- FortiWebを該当バージョン以上へ早急にアップグレードする
- インターネット側へのHTTP/HTTPS管理インターフェース公開を停止
- 設定の改変や不審な管理者アカウント追加がないかログを確認
- ベンダー(Fortinet)へ問い合わせ、推奨される調査手順やIoCを確認
この記事に出てくる専門用語
- CVE-2025-64446:FortiWebに存在した相対パス・トラバーサル脆弱性で、管理者権限を実行される恐れがあります。
- Path Traversal:ファイルパスを不正操作し、本来アクセスできない領域へ侵入する攻撃手法です。
- CGIINFOヘッダ:HTTPリクエストに含まれ、今回の攻撃ではユーザーなりすまし情報を運ぶ手段として悪用されています。
攻撃者が狙う仕組みと被害の広がり
今回報告された脆弱性は、FortiWebに備わる管理機能を攻撃者が不正に利用し、認証を通過せずに管理操作を実行できてしまう点にあります。特に問題視されているのは、攻撃者が細工したHTTP POSTリクエストを送り、組み込みバイナリ「fwbcgi」に到達させることで、任意のアカウントになりすましてしまう点です。この手法は、Fortinetが静かに修正していたと見られるバージョン以前で機能し、すでに実際の攻撃で複数の不正管理者アカウントが生成されているケースが確認されています。
攻撃者は管理者アカウントを作成することで持続的なアクセスを確保しうると報告されています。管理権限を取得されると、設定変更などの操作が行われる可能性があります。管理インターフェースがインターネットに露出している環境では、攻撃に悪用される可能性があるため、注意が必要とされています。
脆弱性の技術的背景と、なりすましを可能にした要因
脆弱性CVE-2025-64446は、複数の要素が重なって成立する複合的な問題と説明されています。1つはパス・トラバーサルによって通常到達しない実行ファイル「fwbcgi」へアクセスできてしまう点、もう1つはHTTPリクエストのヘッダー「CGIINFO」に含まれたBase64デコード後のJSONデータが、ユーザーのなりすまし情報として機能してしまう点です。この仕組みを悪用すると、攻撃者は“admin”アカウントと同じ権限を取得するために必要な4つのパラメータ(username / profname / vdom / loginname)をそのまま指定し、完全に管理者として振る舞えるようになります。
watchTowr、Defused、Rapid7など複数のセキュリティ企業は、この攻撃チェーンの再現性を確認しており、攻撃者が実際に管理者アカウントを複数生成している事例も報告されています。特に「Testpoint」「trader」などの名称で作成されたアカウントは、実際の攻撃で観測されたものであり、実際に複数の不正な管理者アカウントが観測されています。脆弱性を悪用されると管理者アカウントが不正に作成される可能性があるため、早期の調査とアップデートが推奨されています。
組織が確認すべきポイントと、推奨される対応
FortiWebは各地域の企業や組織でも利用例があるため、本脆弱性は広範な環境で注意が必要とされています。まず最優先で実施すべきは、Fortinetが公開した推奨バージョンへアップグレードすることです。加えて、外部に公開された管理インターフェースが存在する場合は即時に封鎖し、ログや設定ファイルの改変、身に覚えのない管理アカウントが存在しないか丁寧に確認する必要があります。
影響を受けるバージョンを利用していた場合は、不正な管理者アカウントの有無などを確認することが推奨されています。Rapid7やVulnCheckなど複数の企業は、過去のトラフィックやログを含む詳細な調査を実施し、疑わしい挙動を洗い出すことを推奨しています。特に今回の事例では攻撃が「無差別かつ継続的」に観測されていると報告されており、パッチ適用だけでなく、過去の痕跡確認まで含めた対応が求められます。
参考文献・記事一覧
投稿者プロフィール
- CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。
