FortiWebの認証バイパスとコマンドインジェクションが連鎖し管理平面からRCE、WAFの「最後の砦」が裏口化するリスクです

今日の深掘りポイント

• 認証バイパス（GUIの相対パストラバーサル）とコマンドインジェクション（API/CLI）の2件を連鎖させ、認証なしで管理コマンド実行からRCEに到達し得る構図です。管理平面の防御が崩れるとWAFそのものが攻撃踏み台・防御無力化装置に変わるため、影響がアプリケーション側まで波及します。
• 公共・金融・エネルギーなどFortiWebの採用が多い領域では、WAFポリシの改ざん、TLS秘密鍵の窃取、バックエンドへの横展開など業務継続に直結する二次被害が現実的です。
• 速報性・行動可能性が極めて高い事案で、露出資産の棚卸と管理平面の遮断、優先パッチ、侵害有無のハンティングを同時並行で回すべき案件です。
• アプライアンス系機器特有の観測ギャップ（EDR不在、ログ粒度の制約）を前提に、ネットワーク・設定変更・証跡の三点監査で補完する運用が鍵です。

はじめに

FortinetのWebアプリケーションファイアウォール製品FortiWebに、認証バイパス（CVE-2025-64446）とコマンドインジェクション（CVE-2025-58034）の脆弱性が報告されています。前者はGUIにおける相対パストラバーサルの欠陥により、未認証でも特定のリクエストを介して管理コマンドが実行され得る問題です。後者はAPIおよびCLIでOSコマンドに渡される要素の検証不備により、認証済みの攻撃者が任意コマンドを実行できる問題です。二つを組み合わせることで、未認証の外部からRCEに至る経路が開く可能性があり、直ちに対処が求められる状況です。影響バージョンとしては8.0.0–8.0.1、7.6.0–7.6.5、7.4.0–7.4.10などが報告されています。対策としてはベンダ提供の修正バージョン適用が推奨されています。参考情報は末尾のリンクを参照ください。

深掘り詳細

事実関係（公開情報）

• FortiWebのGUIに相対パストラバーサルが存在し、未認証リクエストで管理系の機能にアクセスされる可能性があると報告されています（CVE-2025-64446）です。
• FortiWebのAPI/CLIにコマンドインジェクションがあり、認証済みユーザーが任意コマンド実行に至る可能性があると報告されています（CVE-2025-58034）です。
• これらは組み合わせることで、未認証→管理機能アクセス→OSコマンド実行という連鎖が成立し、RCEに到達し得ると評価されています。
• 影響を受けるバージョンとして8.0.0–8.0.1、7.6.0–7.6.5、7.4.0–7.4.10などが挙げられており、ベンダの修正済みリリースへの更新が推奨されています。
• 参考: Security Boulevardの告知記事 です。一次情報はベンダのセキュリティアドバイザリを参照することを強く推奨します。

注: 上記は公開報道・告知の要旨であり、運用判断時はベンダアドバイザリと自組織の環境差分を必ず突き合わせるべきです。

インサイト（運用・リスク視点）

• WAFは「守るために挟み込んだ装置」が逆に攻撃の踏み台や防御の無力化ポイントに転じるため、同種のRCEでもビジネス影響の質が異なります。ポリシ改ざん→攻撃通過率上昇、証明書・鍵の窃取→復号型MITM、監視無効化→検知遅延、という多段の影響が連鎖しやすいです。
• 認証バイパスと管理系インジェクションの「連鎖」は、境界防御やMFA前提のリスク低減策を迂回します。認証が前提の運用手当（強固なパスワード、MFA、監査）だけでは不十分で、管理プレーンを物理/論理的にネットワーク隔離する設計が必須です。
• アプライアンス機器はEDRやファイル完全性監視が乏しく、侵害痕跡が薄くなりがちです。結果として、発見は「ネットワーク・設定変更・認証監査ログ」の相関に依存します。管理GUIアクセスの急増、異常なポリシ変更、未知の管理者作成といった副次信号をハンティングに組み込むべきです。
• 公開情報の新規性は限定的でも、攻撃者の実装コストが低く連鎖利用が容易な設計欠陥型である点が厄介です。現場優先度は最上位クラスで、露出資産の即時遮断とパッチ、侵害有無の確認を並走させる必要があります。

脅威シナリオと影響

以下は仮説に基づくシナリオで、MITRE ATT&CKに沿って整理します。実環境への適用時は自組織のネットワーク設計とログ実装に合わせて補正してください。

• シナリオ1: インターネット露出した管理GUIからの初期侵入

  • 手口: CVE-2025-64446で未認証の管理機能アクセスを獲得（Initial Access: Exploit Public-Facing Application［T1190］）、管理コマンド経由で任意コード実行（Execution: Command and Scripting Interpreter［T1059］）、外部からツール取得（Command and Control/Ingress Tool Transfer［T1105］）です。
  • 影響: WAFポリシの無効化/緩和（Defense Evasion: Impair Defenses［T1562.001］）、TLS鍵・証明書の窃取（Credential Access/Exfiltrationの一形態）、バックエンドへの横展開（Lateral Movement: Remote Services［T1021］）です。

• シナリオ2: 認証済みアカウントの悪用による権限昇格

  • 手口: 何らかの経路で得た管理資格情報を用いてログイン後、CVE-2025-58034でOSコマンド実行（Privilege Escalation/Execution）です。
  • 影響: 恒久的なバックドア導入（Persistence: Modify System Image/Boot or Firmwareの近似、装置特性に依存）、監査ログの改ざん/無効化（Defense Evasion［T1562］）、隠れたプロキシとしての悪用（Command and Control［T1090］）です。

• シナリオ3: 連鎖によるRCE→防御無力化→二次攻撃の通過

  • 手口: 未認証のGUIバイパスでAPI/CLIに到達し、コマンドインジェクションでRCE。続いてシグネチャやカスタムポリシを改変、あるいは例外ルールを追加です。
  • 影響: 攻撃トラフィックの素通り、バックエンドの認証基盤/業務アプリへの侵入、データ流出（Exfiltration Over C2 Channel［T1041］）です。

事業影響の観点では、DDoS耐性の低下、規制対応（監査・報告義務）の発生、PKI再発行コスト、SLA逸脱ペナルティといった間接費が大きくなります。特にTLS鍵の漏えいは影響が長期化しやすいです。

セキュリティ担当者のアクション

優先度順に実務的な手当を列挙します。パッチ適用と露出遮断、侵害調査を並行で進めることを推奨します。

• 0～24時間（即応）

  • インターネット露出の管理平面を即時遮断します。管理GUI/CLI/APIの到達経路を踏査し、外部到達を完全にブロックします。到達が必要な場合はVPN＋ソースIP制限に限定します。
  • ベンダの修正済みバージョンへのアップデートを最優先で適用します。クラスタ/HA構成はローリングで適用し、フェイルオーバー時のポリシ整合性を確認します。
  • 攻撃サーフェスの棚卸を行います。外部公開資産管理（EASM）や境界FWのアドレスリストからFortiWebの全インスタンスを抽出し、露出経路を消し込みます。
  • 変更凍結を宣言し、認可なしのポリシ変更を防止します（緊急変更はCAB承認を必須化）です。

• 24～72時間（ハンティングと封じ込め）

  • 管理・監査ログの相関分析を実施します。目安は以下です。
    • 未認証/未知のソースから管理GUIに対する大量アクセス、パストラバーサル（../）を含むURI、通常見ないエラーパターンの急増です。
    • 短時間に集中したポリシ変更、シグネチャ更新の停止、例外ルール大量追加、新規管理者作成/権限昇格、SSH/Telnet/システムスクリプト機能の有効化です。
    • 管理インターフェースからの外向き通信（不審なFQDN/IP）や未知のプロセス生成（装置ログに依存）です。
  • 侵害の疑いがある場合は装置をクリーンビルド/再イメージし、設定は既知の良好バックアップから再適用します。全管理資格情報およびAPIトークンをローテーションし、装置上の証明書/鍵を再発行します。
  • バックエンドのWAF配下アプリ側で不審トラフィックの再スキャンを行い、侵入の連鎖をチェックします。

• 中長期（設計と運用の是正）

  • 管理プレーンのネットワーク分離を標準化します。インターネットからの直接到達を原則禁止し、踏み台/管理用VPNを経由させます。
  • アプライアンスの観測ギャップを補うため、NetFlow/PCAPによる管理IFのトラフィック監視、設定変更の即時通知（SIEM連携）、バックアップと差分監査を定常化します。
  • WAFの変更は二人承認と自動テスト（回帰テスト）を組み合わせ、ポリシ逸脱を検出します。
  • 重要装置（WAF/NGFW/ロードバランサ）のパッチSLOを短縮し、緊急パッチの演習（ローリング適用手順・バックアウト手順）を定例化します。

• 検知ルール化のヒント（装置とログ仕様に依存）

  • URIに「../」を含む管理GUI宛のHTTPリクエストを高優先でフラグします。
  • 短時間に複数の管理機能エンドポイントへ到達、かつ認証イベントが記録されていない連続操作を検知します。
  • 監査ログに「シグネチャ更新停止」「例外ルール追加」「新規管理者作成」「外部スクリプト実行」などのイベントが並ぶパターンを相関します。
  • 管理IF発の外向き接続（特に不明な443/80宛）を異常として扱います。

• リスクコミュニケーション

  • 事業側には「WAFが無効化されると攻撃通過率が上がる」「鍵再発行・SLA逸脱の追加コストが出る」ことを具体的に説明し、パッチや一時的なメンテナンスによる影響許容を取り付けます。
  • 規制業種は、侵害の疑いがある場合の報告義務・証憑（ログ保全）要件を法務/コンプラと事前に整理します。

総合的に見ると、速報性と行動可能性が際立つ案件であり、優先度は最上位です。WAFという「守りの要」を守るために、管理平面の遮断・パッチ適用・痕跡確認の三点を即日で回し切ることが、後手に回らない唯一の道筋です。

参考情報

• Security Boulevard: Fortinet FortiWeb Authentication Bypass and Command Injection Vulnerability (CVE-2025-64446/CVE-2025-58034) Notice: https://securityboulevard.com/2025/11/fortinet-fortiweb-authentication-bypass-and-command-injection-vulnerability-cve-2025-64446-cve-2025-58034-notice/