2分で読めます
出典:Ralf Liebhold(Alamy Stock Photo経由)
年が始まったばかりだが、2026年はすでにFortinetの顧客にとって見慣れた状況になっている。新たな脆弱性が攻撃を受けているためだ。
1月13日、Fortinetは同社のFortiSIEMプラットフォームにおける重大な欠陥を公表した。CVE-2025-64155として追跡され、9.4のCVSSスコアが付与されている。このOSコマンドインジェクションの脆弱性により、認証されていない攻撃者が細工したTCPリクエストを通じてFortSIEMインスタンス上でリモートコード実行(RCE)を達成できる。
昨日、サイバーセキュリティベンダーのDefusedはXへの投稿で、CVE-2025-64155が実環境で悪用されていると警告した。Defusedのハニーポットが観測した脅威活動の多くは、異なるIPアドレスから発生しており、中国のプロバイダー由来のものが3つ含まれていた。
LinkedInの投稿で、Defusedの創業者兼CEOであるSimo Kohonen氏は、同社のハニーポットが、公表直後ほぼすぐに始まった標的型の悪用活動を「かなりの量」受け取ったと述べた。近年、中国に関連する脅威グループは、他のエッジデバイスベンダーとともにFortinetを集中的に標的にしてきた。
Kohonen氏はDark Readingに対し、悪用活動はおよそ15の異なるアクターにまで拡大しており、このFortiSIEMの欠陥は他の重大な欠陥やエクスプロイトと比べて「平均以上の注目」を集めていると語った。
Dark ReadingはFortinetにコメントを求めたが、記事執筆時点で同社からの回答はなかった。
FortiSIEMにとって見慣れた攻撃対象領域
CVE-2025-64155はHorizon3によって発見され、Fortinetに報告された。Horizon3は火曜日に技術ブログ記事と概念実証(PoC)エクスプロイトを公開した。Kohonen氏は、Defusedのハニーポットに対する悪用活動はHorizon3のPoCエクスプロイトを使用しているように見えたと指摘する。
「PoCが悪用に大きく影響していると言って差し支えないと思います。いくつかのエクスプロイト・ペイロードは[Horizon3]のコードと非常によく似ており(何度かは文字どおり同一でした。面白いのは、エクスプロイトPoCにはプレースホルダーがあるからです)」と、同氏はメールで述べている。
Horizon3の攻撃エンジニアであるZach Hanley氏はブログ記事で、この脆弱性が、FortiSIEMのphMonitorサービスに関して以前から特定されていたセキュリティ問題に起因すると説明した。phMonitorはプラットフォームのプロセスを監視し、受信リクエストを適切なコマンドハンドラーへ振り分ける。
Hanley氏によれば、問題はphMonitorのコマンドハンドラーが公開されており、認証なしで任意のリモートユーザーが呼び出せる点にある。その結果、攻撃者はこれらのコマンドハンドラーを悪用し、パスワードの取得や設定といった管理機能を利用できる。
phMonitorの問題は、以前の脆弱性にもつながっている。Horizon3の研究者は以前、FortiSIEMにおける最大深刻度の脆弱性であるCVE-2024-23108およびCVE-2023-34992を発見している。Hanley氏は、過去にはphMonitorが管理機能向けハンドラーの多くを公開していたが、現在は公開されているハンドラーが少なくなり、攻撃対象領域が大幅に縮小していると書いている。
それでも、phMonitorは再び厄介な問題として姿を現したようだ。Fortinetは、FortiSIEMの脆弱なインスタンス(バージョン6.7から7.4)を使用している顧客に対し、修正版へ更新するよう促した。一時的な緩和策として、同社はポート7900を介したphMonitorへのアクセスを制限することを推奨した。
翻訳元: https://www.darkreading.com/vulnerabilities-threats/fortinet-critical-fortisiem-flaw-exploited
