-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
2025年11月19日:サイバーセキュリティ関連ニュース
Fortinet、攻撃で悪用されている新たなFortiWebのゼロデイについて注意喚起:CVE-2025-58034
BleepingComputer – November 18, 2025
Fortinetは11月18日、実際の攻撃での悪用が観測されたFortiWebのゼロデイ脆弱性CVE-2025-58034に対処するセキュリティアドバイザリをリリース。またその他複数の脆弱性についても開示した。
CVE-2025-58034はFortiWebにおけるOSコマンドの脆弱性で、CVSSv3スコアは6.7、深刻度は「Medium」の評価。認証された攻撃者がこれを悪用した場合、細工されたHTTPリクエストまたはCLIコマンドを介し、基盤となるシステム上で不正なコードを実行できるようになる可能性があると説明されている。Fortinetはこの脆弱性が実際の攻撃で悪用されるのを観測済みだと述べているが、攻撃の詳細は現時点で不明。BleepingComputer紙はFortinetおよび、同ゼロデイの報告者としてクレジットされたトレンドマイクロにコメントを求めたが、まだ返答は得られていないという。この脆弱性は米CISAのKEVカタログ(悪用が確認済みの脆弱性カタログ)にも追加され、米連邦政府機関には11月25日までの対応が命じられている。
| 影響を受けるバージョン | ソリューション | |
| FortiWeb 8.0 | 8.0.0〜8.0.1 | 8.0.2以降へのアップグレード |
| FortiWeb 7.6 | 7.6.0〜7.6.5 | 7.6.6以降へのアップグレード |
| FortiWeb 7.4 | 7.4.0〜7.4.10 | 7.4.11以降へのアップグレード |
| FortiWeb 7.2 | 7.2.0〜7.2.11 | 7.2.12以降へのアップグレード |
| FortiWeb 7.0 | 7.0.0〜7.0.11 | 7.0.12以降へのアップグレード |
(表:Fortinet PSIRTアドバイザリを参考に作成)
また、18日には上記のほか複数製品の脆弱性に関するアドバイザリが公開されており、このうち特に深刻度の高いものには以下が含まれる。
- CVE-2025-58692(CVSSv3スコア 7.7、High):FortiVoiceにおけるSQLインジェクションの脆弱性。認証された攻撃者に悪用された場合、特別に細工されたHTTPまたはHTTPSリクエストを介して不正なコードやコマンドを実行される恐れがある。
- CVE-2025-47761(CVSSv3スコア 7.1、High):FortiClient Windowsにおける、IOCTLに対する不十分なアクセス制御の脆弱性。認証されたローカルのユーザーによる、fortipsドライバを介した不正なコードの実行が可能になる恐れがある。
- CVE-2025-46373(CVSSv3スコア 7.1、High):FortiClient Windowsにおけるヒープバッファオーバーフローの脆弱性。認証されたローカルのIPSecユーザーによる、「fortips_74.sys」ドライバを介した任意のコードまたはコマンドの実行が可能になる恐れがある。
- CVE-2025-58413(CVSSv3スコア 6.9、Medium):FortiOS CAPWAPデーモンにおけるスタックオーバーフローの脆弱性。隣接ネットワーク上の認証されていないリモートの攻撃者に悪用された場合、特別に細工されたパケットの送付を介して任意コードの実行を達成される恐れがある。
- CVE-2025-53843(CVSSv3スコア 6.9、Medium):FortiOSおよびFortiSwitchManagerのCAPWAPデーモンにおけるスタックオーバーフローの脆弱性。これを悪用した認証されたリモートの攻撃者は、特別に細工されたパケットを介し、低い権限のユーザーとして任意のコードまたはコマンドを実行できるようになる恐れがある。
Google、攻撃で悪用されているChromeのゼロデイを修正:CVE-2025-13223
The Register – Tue 18 Nov 2025
Googleは11月17日、Chromeにおける深刻度の高いゼロデイ脆弱性CVE-2025-13223に関する緊急パッチをリリース。この脆弱性は、すでに攻撃者に発見され、実環境で悪用されているという。
CVE-2025-13223はJavaScriptエンジンV8における型の取り違えの脆弱性。このタイプの脆弱性はシステムのクラッシュや任意コードの実行に繋がり得るほか、ほかの脆弱性と連鎖させることにより、細工されたHTMLページを通じてシステムを完全に侵害することも可能になる恐れがあるとされる。
Googleはこの脆弱性の「エクスプロイトが出回っていることを認識している」と述べているが、攻撃の詳細は明かしていない。ただ、発見者のClément Lecigne氏はGoogleの脅威分析グループ(TAG)のスパイウェアハンターであり、またTAGはスパイ目的でゼロデイを悪用する国家型アクターを追跡してきたチームであることから、CVE-2025-13223がスパイウェア攻撃や国家アクターの攻撃で悪用されている可能性が示唆されている。
17日の緊急パッチでは、脆弱性検知を目的としたAIツール「Big Sleep」により発見された脆弱性CVE-2025-13224も修正された。これも同じくV8における型の取り違えの脆弱性と説明されているが、アドバイサリ上にそれ以上の詳細は記載されていない。
両脆弱性は、142.0.7444.175/.176(Windows)、142.0.7444.176(Mac)、142.0.7444.175(Linux)へのアップデートにより修正されているとのこと。
【無料配布中レポート】
各種レポートを無料配布中!バナー画像よりダウンロード可能です。
地政学レポート
インテリジェンス要件定義に関するガイドブック
ディープ&ダークウェブレポート
とは?.jpg)
