「修正済み」のはずだが？ Fortinetを巡る脆弱性情報が招いた混乱

Fortinetの「FortiWeb」における脆弱性対応が混乱を招いている。同社が示した修正対象とセキュリティ企業が指摘した対象が異なっていることや、Fortinetが「サイレントパッチ」を実施したことが原因だ。

[David Jones，Cybersecurity Dive]

　FortinetのWebアプリケーションファイアウォール製品「FortiWeb」について脆弱（ぜいじゃく）性情報が混乱を招いている。

　Fortinetは2025年11月に、相対パストラバーサルの脆弱性「CVE-2025-64446」（注1）と、OSコマンドインジェクションの脆弱性「CVE-2025-58034」が実際の攻撃で悪用されていることを確認した（注2）。同社はこれに対応したものの、セキュリティ研究者によればFortinetの対応は不十分なのだという。

「修正済み」のはずだが？　Fortinetを巡る脆弱性情報が招いた混乱

　なぜなら、この2つの脆弱性が悪影響を及ぼすFortiWebのバージョンがFortinetの公開情報と食い違っているからだ。

　脆弱性管理などのサービスを提供するRapid7の研究者は2025年12月1日（現地時間、以下同）に、これらの脆弱性がこれまでに知られていたものよりも古いFortiWebのバージョンにも存在していることを明らかにした（注3）。

　CVE-2025-64446への対応に関するFortinetのガイダンスでは（注4）、7.0.0〜7.0.11と8.0.0〜8.0.1の各バージョンが脆弱だとされていた。

　Rapid7のスティーブン・フューアー氏（プリンシパルセキュリティリサーチャー）は（注5）、サポート対象外になっているFortiWeb 6.xの旧バージョンもCVE-2025-64446とCVE-2025-58034の両方で脆弱だということを突き止めた。

　Rapid7の研究者は「FortiWebの旧バージョンを直接狙った脅威活動は現時点で確認されていないものの、顧客には通知済みであり、サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）はこれらの脆弱性を、悪用が確認されたものをまとめたKEVカタログに追加した」と述べた（注6）。

サイレント対応も良くなかった

　Fortinetは2025年10月にCVE-2025-64446が最初に公表された後、サイレントパッチを提供したことで広範な批判を受けていた（注7）。マネージドハニーポットインフラサービスを提供するDefused Cyberは不審な活動について解説するブログ記事を同年10月初旬に公開した。

　サイレントパッチとは、公式なガイダンスやCVE番号を提供しないまま修正プログラムを公開する対応のことだ。製品を利用する企業のセキュリティチームは何を確認すべきかについて、指針を得られず、実際のリスクがどの程度なのか、またどのように対策を優先すべきかを把握できない状況に置かれる。

　Rapid7のライアン・エモンズ氏（スタッフセキュリティリサーチャー）は、『Cybersecurity Dive』に対して「今回のケースではCVE番号が発行される前に、実際の攻撃への悪用が確認されており、これは防御側にとって不利な状況だ。新しい脆弱性が公表された際のプロセスやトリアージの手順の多くはCVE番号に依存しているからだ」と語った。

出典：Fortinet FortiWeb flaws found in unsupported versions of web application firewall（Cybersecurity Dive）
注1：CVE-2025-64446 Detail（NIST）
注2：CVE-2025-5034 Detail（NIST）
注3：CVE-2025-64446: Critical Vulnerability in Fortinet FortiWeb Exploited in the Wild（RAPID7）
注4：Path confusion vulnerability in GUI（FortiGuard Labs）
注5：Stephen Fewer（X）
注6：Fortinet Releases Security Advisory for Relative Path Traversal Vulnerability Affecting FortiWeb Products（CISA）
注7：Researchers warn command injection flaw in Fortinet FortiWeb is under exploitation（Cybersecurity Dive）

原文へのリンク