Horizon3のセキュリティ研究者は、世界中の組織がインフラを監視するために利用している広く普及したセキュリティ情報・イベント管理(SIEM)ソリューションであるFortinet FortiSIEMにおいて、深刻度が高まりつつある重大な脆弱性を精緻に解体した分析を公開しました。
CVE-2025-64155として指定されたこの脆弱性により、未認証の攻撃者がFortiSIEMサーバー上で任意のコードをリモート実行でき、最終的にrootレベルの完全な管理者権限を獲得します。逆説的にも、これは企業境界を守るために設計されたシステムそのものを完全に乗っ取れることを意味します。
この発見の端緒は2025年8月にさかのぼります。Fortinetが同一製品内の別の欠陥に対する修正を提供した際、Horizon3のアナリストはそのパッチの有効性を評価しようとし、その過程で新たな攻撃ベクトルを突き止めました。注目すべきことに、これはモジュール間通信を担うコンポーネントであるphMonitorサービスで確認された3件目の重大なセキュリティ不備であり、2023年および2024年の類似事例に続くものです。
技術的には、この脆弱性はphMonitorサービスが受信リクエストを処理し、送信者の身元を検証しないまま各種ハンドラへ委譲する方法に起因します。開発者は以前、ユーザーデータをシングルクォートで囲むことでコマンドインジェクション対策を実装していましたが、研究者はcurlユーティリティを介した引数インジェクションを用いる高度な回避手法を特定しました。
攻撃の要となるのは、curlのあまり知られていない--nextというオプションで、複数のリクエストを単一のコマンド実行に連結することを可能にします。この特性を悪用することで、攻撃者は管理者権限でサーバー上の任意のディレクトリに任意のファイルを書き込めます。研究者はこれを利用して、短い一定間隔でシステムにより実行されるファイルであるphLicenseToolを上書きし、初期のコード実行を達成しました。
権限をrootレベルへ昇格させるため、チームはcronタスクスケジューラを精査し、redishb.shスクリプトが毎分root権限で実行される一方で、標準の管理ユーザーによって書き込み可能なままであることを突き止めました。このスクリプトを上書きすることで、システム全体の完全支配へと妨げなく到達できました。
この状況の深刻さは、2025年初頭に流出したBlack Bastaランサムウェア集団の通信内容によっても裏付けられています。そこではFortiSIEMの脆弱性に対する集中的な関心が明らかになりました。こうした証拠は、防御ソフトウェアの欠陥が高度なサイバー犯罪組織にとって非常に魅力的な標的であることを示しています。
開示プロセスは長期化しました。Horizon3は2025年8月14日に当該脆弱性をFortinetへ初めて通知しました。協調的開示の標準である90日間の期間を経て、5つの製品系統のうち4つは修正されましたが、1つは脆弱なままでした。その結果、正式な一般公開は2026年1月13日まで延期され、初回通知から151日後となりました。
FortiSIEM環境を運用するシステム管理者には、最新のセキュリティ更新を直ちに適用することが強く求められます。侵害の兆候を特定するには、phoenix.logsを監査し、不審なURLや異常なファイルパスを含むPHL_ERRORエントリを確認してください。GitHub上で概念実証(PoC)エクスプロイトが入手可能であることから、これらの更新の緊急性は極めて高いと言えます。
翻訳元: https://meterpreter.org/guarding-the-guardian-horizon3-unmasks-root-rce-in-fortinet-fortisiem/
