公開されている概念実証(PoC)エクスプロイトコードが存在する重大なFortinet FortiSIEMの脆弱性が、現在攻撃で悪用されています。
この脆弱性(CVE-2025-64155)を報告した、ペネトレーションテスト企業Horizon3.aiのセキュリティ研究者Zach Hanley氏によると、これは2つの問題の組み合わせであり、管理者権限での任意書き込みと、rootアクセスへの権限昇格を可能にします。
「FortiSIEMにおけるOSコマンドで使用される特殊要素の不適切な無害化(『OSコマンドインジェクション』)の脆弱性 [CWE-78] により、認証されていない攻撃者が、細工したTCPリクエストを介して不正なコードまたはコマンドを実行できる可能性があります」と、欠陥を修正するセキュリティ更新をリリースした火曜日に、Fortinetは説明しました。
Horizon3.aiは、問題の根本原因が、認証なしでリモートから呼び出せるphMonitorサービス上の多数のコマンドハンドラの露出にあることを説明する技術的な解説記事を公開し、引数インジェクションを悪用して/opt/charting/redishb.shファイルを上書きすることでrootとしてコード実行を得られる概念実証(PoC)エクスプロイトコードも公開しました。
この欠陥はFortiSIEM 6.7〜7.5のバージョンに影響し、FortiSIEM 7.4.1以降、7.3.5以降、7.2.7以降、または7.1.9以降へアップグレードすることで修正できます。FortiSIEM 7.0.0〜7.0.4およびFortiSIEM 6.7.0〜6.7.10を使用している顧客には、修正版リリースへの移行が推奨されています。
火曜日、Fortinetはまた、すぐにセキュリティ更新を適用できない管理者向けに、一時的な回避策も共有し、phMonitorポート(7900)へのアクセスを制限するよう求めました。
2日後、脅威インテリジェンス企業Defusedは、脅威アクターが現在、野外でCVE-2025-64155の欠陥を積極的に悪用していると報告しました。
「Fortinet FortiSIEMの脆弱性CVE-2025-64155は、当社のハニーポットで活発かつ標的型の悪用が確認されています」と、Defusedは警告しました。
Horizon3.aiも、防御側がすでに侵害されたシステムを特定できるようにするための侵害指標(IoC)を提供しています。研究者らの説明によれば、管理者は/opt/phoenix/log/phoenix.logsにあるphMonitorのメッセージログを確認し、PHL_ERRORエントリを含む行にあるペイロードURLを探すことで、悪意ある悪用の痕跡を見つけられます。
Fortinetはまだ同社のセキュリティアドバイザリを更新しておらず、この脆弱性が攻撃で悪用されていることを示すフラグも付けていません。BleepingComputerも、活発な悪用に関する報告を確認するためFortinetの広報担当者に問い合わせましたが、直ちには回答を得られませんでした。
11月、Fortinetは、攻撃者がFortiWebのゼロデイ(CVE-2025-58034)を悪用していると警告し、1週間後には、同じく広範な攻撃で標的にされていた2つ目のFortiWebゼロデイ(CVE-2025-64446)を、ひそかに修正していたことを確認しました。
また2025年2月には、明らかにしたところによると、中国のVolt Typhoonハッキンググループが、2つのFortiOS脆弱性(CVE-2023-27997およびCVE-2022-42475として追跡)を悪用して、オランダ国防省の軍事ネットワーク上にCoathangerリモートアクセストロイのマルウェアを展開しました。
