研究者ら、新たなCVEの出現を受け、長年続くFortiSIEMのroot悪用ベクターに警鐘

Fortinet FortiSIEMにおける重大なコマンドインジェクション問題が、公開されたエクスプロイトコードとともに開示され、研究者らは、攻撃者がほぼ3年にわたり、リモートから未認証でSIEMプラットフォームのrootアクセスを達成できていた可能性があると主張している。この欠陥はFortiSIEMにおける弱点の一類型に属し、2023年および2024年にまでさかのぼる。

CVE-2025-64155として追跡されているこの脆弱性は、phMonitorサービスに影響する。phMonitorはFortiSIEMの内部コンポーネントで、昇格した権限で動作し、システムの健全性と監視において中心的な役割を担う。エクスプロイトコードは今週、ペネトレーションテストプラットフォームのHorizon3.aiによって公開され、同社は、この欠陥により攻撃者がコマンドを注入し、後にrootユーザーとして実行される任意のファイルを書き込めるようになると明らかにした。

Horizon3によれば、この欠陥は2025年8月にFortinetへ責任ある形で開示され、ベンダーが火曜日に修正を公開し、CVEを割り当てるまで非公開のままだった。

phMonitorが未認証rootへのゲートウェイに

問題はFortiSIEMのphMonitorサービスに関するもので、同サービスはTCPポート7900で待ち受け、内部の監視タスクを調整するよう設計されている。Horizon3.aiによると、不十分な入力サニタイズにより、攻撃者はシェルコマンドを注入でき、最終的にそれがディスクに書き込まれ、認証なしにroot権限で実行される。

phMonitorはFortiSIEMの運用ワークフローに深く統合されているため、悪用に成功すると、攻撃者はセキュリティ情報・イベント管理（SIEM）アプライアンスを実質的に完全に制御できるようになる。その制御は、ログ記録の無効化、アラートの改ざん、あるいは企業ネットワーク全体への横展開（ラテラルムーブメント）に利用され得る。

Horizon3の研究者らはブログ投稿で、CVE-2025-64155は孤立した欠陥ではなく、複数の開示サイクルを通じて表面化してきたphMonitor関連の弱点という、より広いクラスの一部だと指摘した。これまで同じサービスに影響する問題として報告されたものは、コマンドまたは引数インジェクションの異なる形態を可能にしており、場合によってはより限定的なプリミティブにとどまるものの、一貫してphMonitorを未認証の攻撃面として露出させてきた。

「phMonitorサービスは、APIリクエストで送信されたコマンドの種類に基づいて、受信したリクエストを適切な機能ハンドラーへ振り分けます」と彼らは述べた。「各コマンドハンドラーは整数にマッピングされ、その整数がコマンドメッセージ内で渡されます。セキュリティ上の問題#1は、これらのハンドラーがすべて公開されており、認証なしに任意のリモートクライアントが呼び出せる点です。」

CVE-2025-64155の開示に先立ち、Fortinetは2025年8月の早い段階で、CVE-2025-25256として追跡されるFortiSIEMの関連する重大なコマンドインジェクション欠陥をすでに修正していた。その脆弱性もOSコマンド入力の不適切な取り扱いに起因しており、Fortinetが実際に悪用可能なコードが野放しで存在すると認めたほど重大で、サポート対象の複数のFortiSIEMリリースに対する修正を促した。

エクスプロイトコードの公開がリスク評価を変える

Horizon3とTenableはいずれも、組織は直ちにFortinetのパッチを適用し、可能な限りポート7900へのアクセスを制限すべきだと強調している。悪用が確認されていない場合でも、CVE-2025-64155は高価値の標的となる。

CVE-2025-64155はCVSSスコア10点満点中9.4の重大度（Critical）評価で、7.4.0、7.3.0-7.3.4、7.1.0-7.1.8、7.0.0-7.0.4、6.7.0-6.7.10を含む複数のFortiSIEMリリースに影響する。Fortinetは、この問題に対処するため、FortiSIEM 7.4.1、7.3.5、7.2.7、7.1.9（およびそれ以降）などの修正済みビルドをリリースした。