コマンドやコードの実行に悪用され得る、Fortinetのセキュリティ情報・イベント管理(SIEM)ソリューションに影響する重大な脆弱性について、技術的詳細と公開エクスプロイトが公開されました。これは、リモートの未認証攻撃者が悪用できる可能性があります。
この脆弱性はCVE-2025-25256として追跡されており、管理者権限での任意書き込みと、rootアクセスへの権限昇格を可能にする2つの問題の組み合わせです。
ペネトレーションテスト企業Horizon3.aiの研究者は、2025年8月中旬にこのセキュリティ問題を報告しました。11月上旬、Fortinetは製品の5つの開発ブランチのうち4つでこれに対処し、今週、脆弱性のあるすべてのバージョンにパッチが適用されたと発表しました。
FortinetはCVE-2025-25256の脆弱性 について、「FortiSIEMにおけるOSコマンドの脆弱性で使用される特殊要素の不適切な無害化により、未認証の攻撃者が細工したTCPリクエストを介して不正なコードまたはコマンドを実行できる可能性がある」と説明しています。
Horizon3.aiは、問題の根本原因が、認証なしにリモートから呼び出せるphMonitorサービス上の多数のコマンドハンドラの露出にあることを説明する詳細な解説記事を公開 しました。
研究者らによると、このサービスはCVE-2023-34992やCVE-2024-23108のように、複数年にわたり複数のFortiSIEM脆弱性の侵入口となってきたといいます。また、Black Bastaのようなランサムウェアグループが、これらの欠陥に以前から強い関心を示していたことも強調しています。
研究者らはCVE-2025-25256に関する技術的詳細に加え、デモ用エクスプロイトも公開しました。ベンダーが修正を提供しセキュリティアドバイザリを公開したため、研究者らはエクスプロイトコードを共有することにしたとしています。
この欠陥はFortiSIEM 6.7から7.5までのバージョンに影響し、修正は以下のリリースで提供されています:
- FortiSIEM 7.4.1以降
- FortiSIEM 7.3.5以降
- FortiSIEM 7.2.7以降
- FortiSIEM 7.1.9以降
FortiSIEM 7.0および6.7.0も影響を受けますが、これらはすでにサポート対象外のため、CVE-2025-25256の修正は提供されません。
Fortinetは、この欠陥がFortiSIEM 7.5およびFortiSIEM Cloudには影響しないことを明確にしました。
セキュリティ更新を直ちに適用できない場合にベンダーが提示している唯一の回避策は、phMonitorポート(7900)へのアクセスを制限することです。
Horizon3.aiは、侵害されたシステムの検出に役立つ侵害指標(IoC)も共有しています。phMonitorが受信したメッセージのログ(/opt/phoenix/log/phoenix.logs)を見ると、「PHL_ERROR」を含む行に、ペイロードのURLと書き込まれたファイルが含まれているはずです。
