TokyoBlackHatNews

esecurityplanet.com 4分で読了

Fortinet、FortiSIEMのRCEがアクティブに悪用されていると警告

Fortinet FortiSIEMの脆弱性が現在アクティブに悪用されており、攻撃者にとって中核的なエンタープライズ監視プラットフォーム上でリモートコード実行へ至る直接的な経路となっています。

この欠陥は「…細工されたTCPリクエストを介して、認証されていない攻撃者が不正なコードまたはコマンドを実行できる可能性がある」と、Fortinetはアドバイザリで述べています

CVE-2025-64155の仕組み

CVE-2025-64155は、FortiSIEMのphMonitorサービスに存在するOSコマンドインジェクションの脆弱性で、SuperノードとWorkerノード間の内部通信およびデータ交換に使用されるコンポーネントです。 

この欠陥は、OSコマンド処理における特殊文字の不適切な無害化に起因し、攻撃者が制御する入力がシステムレベルのコマンドの一部として解釈されることを可能にします。 

攻撃者は、ポート7900に細工したTCPリクエストを送信し、elasticタイプのパラメータを受け付けるストレージ設定エンドポイントを標的にすることで、このバグを悪用します。 

Defusedの研究者は、クラスタ名やレプリカ設定などのXMLフィールドを用いて正当なelasticストレージ設定に見えるよう意図的に整形されたペイロードを観測しており、これによりトラフィックが想定される管理ワークフローに紛れ込みます。 

その後、悪意のある入力がバックエンドのcurlコマンドに注入され、攻撃者はadminユーザーのコンテキストでディスク上に任意のファイルを書き込めるようになります。

そこから攻撃は急速にエスカレートし得ます。Defusedは、攻撃者が初期のファイル書き込み機能を連鎖させ、後に特権プロセスによって実行されるバイナリやファイルを上書きすることで、rootレベルの侵害に至れると報告しています。

FortiSIEMノードを完全に制御できれば、攻撃者はログの改ざん、アラートの妨害、またはSIEMのネットワーク上の位置を利用して環境内のさらに深部へピボットすることが可能になります。 

公開されている概念実証のエクスプロイトコードは、すでにGitHubで入手可能です。

Fortinetは、FortiSIEM CloudおよびCollectorノードは影響を受けないと述べていますが、オンプレミスの脆弱なSuperおよびWorkerノードは、ネットワーク越しに到達可能であれば露出したままとなります。 

Fortinetはこの問題に対処する更新プログラムをリリースしており、組織は直ちに適用すべきです。

セキュリティチームが今すべきこと

CVE-2025-64155がアクティブに悪用されている状況では、セキュリティチームは露出したシステムが迅速にプローブされると想定し、パッチ適用と並行して封じ込めを優先すべきです。 

SIEMプラットフォームは高い信頼の位置にあるため、単一ノードの侵害がログ改ざん、データ窃取、横展開の起点となり得ます。 

  • FortiSIEMのSuperおよびWorkerノードを修正版リリースへアップグレードし、影響を受ける6.7.xおよび7.0.xビルドから直ちに移行してください。
  • TCP 7900のインターネット露出を遮断し、アクセスを制限して、厳格な許可リストと多層的なファイアウォール制御により必要なFortiSIEMノードのみに限定してください。
  • FortiSIEMを専用のセキュリティ管理ネットワークに分離し、踏み台ホスト、MFA、最小権限の制御によって管理者アクセスを制限してください。
  • FortiSIEMノードにエグレスフィルタリングを適用し、第2段階ペイロードの取得、C2トラフィック、データ持ち出しを防止してください。
  • /opt/phoenix/log/phoenix.logPHL_ERRORの指標について監視し、異常な外向き接続、ファイル書き込み、バイナリ改ざんの挙動をハンティングしてください。
  • ファイル整合性監視を有効化し、疑わしいプロセス実行(例:curl、シェル、wget)がphMonitorまたはPhoenixサービスのコンテキストから発生した場合にアラートを出すようにしてください。
  • SIEM侵害に備えたインシデント対応プレイブックをテストし、リハーサルして、アクティブな悪用時に迅速に封じ込めできるようにしてください。

これらの手順はFortiSIEMの導入を強化し、侵害が発生した場合の影響範囲(ブラスト半径)を低減するのに役立ちます。 

CVE-2025-64155は、攻撃者が可視化と対応のために組織が依存するセキュリティツールを、ますます標的にしていることを示す警鐘です。 

SIEMが侵害されると、防御側は信頼できるテレメトリを失い、進行中の侵入を見逃し、攻撃者に環境内でさらに深く拡大するための特権的な足掛かりを与えるリスクがあります。 

信頼されたツールが侵害されるこのリスクこそが、暗黙の信頼を減らし攻撃者の移動を制限するために、組織がゼロトラスト・ソリューションへと舵を切っている理由です。

翻訳元: https://www.esecurityplanet.com/threats/fortinet-warns-of-active-fortisiem-rce-exploitation/

ソース: esecurityplanet.com
#CVE-2025-64155 #Fortinet #FortiSIEM #OSコマンドインジェクション #SIEMセキュリティ #アクティブエクスプロイト #インシデントレスポンス #ゼロデイ攻撃 #パッチ適用 #リモートコード実行(RCE)

関連記事

Claude Code GitHub Actionsの脆弱性がサプライチェーン攻撃リスクを招いた問題

GoogleがAndroidのゼロデイ脆弱性にパッチを適用——実際の悪用が確認

偽のClaude Codeインストーラーが認証情報を盗むマルウェアを配布