システム管理者は、FortinetのFortiSIEMソリューションにおける新たな重大な脆弱性のアップデートを最優先するよう促されています。現在、この脆弱性のエクスプロイトコードが実際に流通しています。
火曜日に公開されたCVE-2025-25256は、CVSSスコア9.8の権限昇格の脆弱性です。
「FortiSIEMにおけるOSコマンドで使用される特殊要素の不適切な無害化の脆弱性により、認証されていない攻撃者が細工されたCLIリクエストを通じて不正なコードやコマンドを実行できる可能性があります」とアドバイザリは説明しています。
「この脆弱性に対する実用的なエクスプロイトコードが実際に流通していることが確認されました。」
Fortinetは、現在流通しているエクスプロイトコードが「明確なIoC(侵害の痕跡)を生成しないように見える」と付け加えており、これによりネットワーク防御担当者がエクスプロイトの特定や封じ込めを行うのが困難になるとしています。
Fortinetの脅威についてさらに読む:Fortinet、ファイアウォールにおける重大なゼロデイ脆弱性を確認
FortiSIEMは、複数のソースからのデータの分析と相関に基づいて脅威アラートを提供するために設計された、セキュリティ情報およびイベント管理(SIEM)プラットフォームです。
主に中規模および大規模企業やマネージドサービスプロバイダー向けに販売されており、実用的なエクスプロイトが開発された場合、これらの組織が攻撃の標的となる可能性があります。
Fortinet製品は脅威アクターの人気の標的であり、脆弱性がランサムウェア攻撃で頻繁に悪用されています。
この発表が、同じく火曜日に発表されたGreyNoiseのレポートと関連しているかは不明です。GreyNoiseは「Fortinet SSL VPNを標的としたブルートフォーストラフィックの大幅な増加」を明らかにしました。
8月3日にさかのぼる攻撃には780以上のユニークなIPが関与していました。GreyNoiseによると、これは最近数カ月でFortinet SSL VPNへの攻撃に関連するIP数としては最大規模だったとのことです。
「新たな研究によると、このような急増は、同じベンダーに影響を与える新たな脆弱性の公開に先行して発生することが多く、その多くは6週間以内に公開されています」と説明しています。
「実際、GreyNoiseは、このタグをトリガーする活動の急増が、Fortinet製品における今後公開される脆弱性と有意に相関していることを発見しました。」
8月5日、同じ脅威アクターがFortiOS SSL VPNエンドポイントの標的からFortiManagerのFGFMサービスへの標的変更を行ったと、脅威インテリジェンス企業は述べています。
画像クレジット:Michael Vi / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/fortinet-exploit-code-available/