Fortinet製品の危険な脆弱性 すぐに対応が必要

FortinetのWAFと他の製品を連携させ、自動化を実現する製品に危険な脆弱性が見つかった。認証が不要で悪用が可能なSQLインジェクションを引き起こす。

[David Jones，Cybersecurity Dive]

　サイバーセキュリティの専門家によると、Fortinetの「FortiWeb Fabric Connector」に存在する重大な脆弱（ぜいじゃく）性が積極的に悪用されているという。

迅速な対処が必要

　この脆弱性「CVE-2025-25257」だ。Fortinetの勧告によると（注1）、攻撃者は細工されたHTTPまたはHTTPSのリクエストを通じて、不正なSQLコードやコマンドを実行できる（注2）。これはSQLコマンドで使用される特殊な要素の無効化処理に不備があったためだ。

　FortiWeb Fabric Connectorは、ファイアウォール「FortiWeb」とFortinetの他の製品を連携させて、セキュリティの一元管理と自動化を実現する。他の製品からの情報をFortiWebに取り込み、動的なセキュリティ保護を支援する重要な役割を担っている。外部攻撃面管理（EASM）に強みがあるwatchTowrのライアン・デューハースト氏（プロアクティブ脅威インテリジェンス部門の責任者）によれば、シングルサインオン（SSO）との統合や動的なポリシーの適用に役立つ。

　非営利のセキュリティ組織Shadowserver Foundationによると、2025年7月17日の時点で約49件のFortinet FortiWebへの侵害が確認されており（注3）、同年7月14日に確認された85件、同年7月15日に確認された77件から減少傾向にあるものの危険な状態が続いている。Shadowserverは「7月11日以降、この脆弱性の積極的な悪用を確認している」と述べた。

　デューハースト氏は『Cybersecurity Dive』に対し、次のように述べた。

　「Fortinetの勧告はリスクの重大性を明確に示している。認証が不要で悪用が可能なSQLインジェクションに関連する重大な脆弱性だ。直ちにパッチを適用するか、影響を受ける可能性のあるWebインタフェースを完全に無効化して対処しなければならない。脆弱性を悪用されたデバイスが急増しているのは、攻撃者がこれまで以上に迅速に行動しているためだ」

　2025年7月7日の週、watchTowrの研究者はこの脆弱性に関する詳細な調査結果を公開した（注4）。Fortinetは、脆弱性を最初に報告したのは日本のGMOサイバーセキュリティ byイエラエだと認めている。

　2025年7月18日時点において、どの脅威アクターがFortiWebを標的にしているのか、また動機が何であるのかは明らかになっていない。

　エクスプロイトと脆弱性に関するインテリジェンスに強みがあるVulnCheckのパトリック・ギャリティ氏（セキュリティ研究者）は、Cybersecurity Diveに対して次のように語った（注5）。

　「脆弱性が公表されるまで、Fortinetは実際の悪用に気付いていなかった可能性がある。現在では、この脆弱性に対するシグネチャや検出ルールが作成されており、他の組織でも悪用があったことが検知されるようになった」

　サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、悪用されたことが確認された脆弱性をまとめた「KEVカタログ」にこの脆弱性を追加すると2025年7月11日に発表した（注6）。Fortinetもセキュリティガイドラインの更新において、実際の悪用を確認した。

出典：Researchers warn of cyberattacks targeting key Fortinet software（Cybersecurity Dive）
注1：CVE-2025-25257（CVE）
注2：Unauthenticated SQL injection in GUI（FortiGuard Labs）
注3：Tree map（Shadowserver Foundation）
注4：Pre-Auth SQL Injection to RCE - Fortinet FortiWeb Fabric Connector (CVE-2025-25257)（watchTowr Labs）
注5：Patrick Garrity（LinkedIn）
注6：CISA Adds One Known Exploited Vulnerability to Catalog（CISA）