CVE-2025-25257：FortiWebの重大なSQLインジェクション脆弱性により、認証不要のリモートコード実行が可能に

Windows の SPNEGO 拡張ネゴシエーションにおける重大なヒープベースのバッファオーバーフロー CVE-2025-47981 が最近公開されたことに続き、セキュリティチームは新たな重大な脅威に直面しています。今回は、Fortinet の FortiWeb Webアプリケーションファイアウォールが対象です。CVE-2025-25257 として指定され、CVSS スコアは 9.6。この脆弱性は認証不要の SQL インジェクションであり、細工された HTTP または HTTPS リクエストを通じて任意の SQL コマンドを実行される恐れがあります。

脆弱性の悪用は、攻撃者が標的ネットワークに最初に侵入する主要な手段として依然として利用されています。2025年にはこの活動が前年と比べて 34% 増加 しており、セキュリティ侵害の大幅な増加に寄与しています。CVE-2025-25257 に関する PoC（概念実証）コードはすでにオンラインで出回っているため、早期の攻撃検出が非常に重要です。セキュリティチームは、最新の脅威環境に対応するために、キュレートされた検出コンテンツと適切なセキュリティツールを備える必要があります。

SOC Prime プラットフォームに登録 すると、リアルタイムの脅威インテリジェンスと、AI を活用した検出エンジニアリング、脅威ハンティング、先進的な検出に対応した完全な製品スイートに支えられたキュレート済み検出アルゴリズムが提供される「グローバル脅威フィード」にアクセスできます。すべてのルールは複数の SIEM、EDR、データレイク形式に対応しており、MITRE ATT&CK® フレームワークにマッピングされています。また、各ルールには CTI リンク、攻撃タイムライン、監査設定、トリアージ推奨などのコンテキストも付加されています。「Explore Detections」ボタンをクリックすると、「CVE」タグでフィルタリングされた重要な脆弱性への対応用検出スタック全体が表示されます。

Explore Detections

セキュリティエンジニアはまた、脅威主導の検出エンジニアリング専用のプライベート AI「Uncoder AI」を活用できます。Uncoder を使えば、IOC を即座にハンティングクエリに変換し、生データから検出ルールを作成し、ATT&CK タグの予測や AI によるクエリ最適化、マルチプラットフォーム対応のルール変換が可能です。

CVE-2025-25257 の分析

Fortinet の アドバイザリ によると、CVE-2025-25257 の脆弱性は、SQL ステートメント内で使用される特殊要素の不適切な無害化処理に起因します。これにより、未認証の攻撃者が細工された HTTP または HTTPS リクエストを介して不正な SQL コマンドを実行できます。watchTowr Labs による 分析 では、get_fabric_user_by_token 関数が根本原因であるとされています。この関数は、FortiWeb と他の Fortinet 製品を連携する Fabric Connector コンポーネントの一部です。

この脆弱性は、攻撃者が制御する入力が十分に検証されないまま SQL クエリに渡されることで発生します。その結果、悪意ある SQL コードが注入・実行される可能性があります。さらに、この 攻撃 は、SELECT … INTO OUTFILE ステートメントを用いてファイルシステムにマルウェアを保存することで、リモートコード実行にまで発展することが可能です。SQL クエリは “mysql” ユーザーで実行されるため、攻撃者は OS にファイルをドロップし、Python を使って実行できる可能性があります。

Fortinet によると、複数の FortiWeb バージョンが CVE-2025-25257 の影響を受けており、速やかにパッチを適用するよう強く推奨されています。影響を受けるバージョンには、7.6.0～7.6.3（7.6.4 以降へアップデート推奨）、7.4.0～7.4.7（7.4.8 以降へ）、7.2.0～7.2.10（7.2.11 以降へ）、7.0.0～7.0.10（7.0.11 以降へ）などがあります。

暫定的な回避策として、Fortinet は適切なパッチが適用されるまで、HTTP/HTTPS の管理インターフェースを無効化することを推奨しています。

攻撃対象領域の拡大に先手を打って対処するには、SOC Prime プラットフォーム を活用することが有効です。世界最大の検出ルールマーケットプレイス、自動化された脅威ハンティング & 検出エンジニアリング、AI ネイティブな脅威インテリジェンスなどの機能により、SOC を進化させることができます。SOC Prime の完全な製品スイート を活用することで、セキュリティチームは脆弱性の悪用や将来の脅威に対して、より効果的かつ予測的にリスクを軽減できます。