コンテンツにスキップするには Enter キーを押してください

Fortinet SIEMの問題、企業のSSL VPNへのブルートフォーストラフィック急増と同時に発生

投稿日 2025年8月14日

Fortinetは火曜日、FortiSIEM(同社のセキュリティ情報およびイベント管理ソフトウェア)における重大な脆弱性についてアドバイザリで顧客に警告し、「実用的なエクスプロイトコード」が既に野放しになっていることを付け加えました。

OSコマンドインジェクションの脆弱性であるCVE-2025-25256は、初期CVSSスコアが9.8で、認証されていない攻撃者が権限を昇格させてコードやコマンドを実行できる可能性があります。現時点で積極的な悪用は観測されていません。Fortinetは、影響を受けるバージョンのFortiSIEMを使用している顧客に対し、利用可能な最新バージョンへのアップグレードを推奨し、回避策としてphMonitorポート(7900)へのアクセスを制限するよう助言しています。

CVEの指定と公開は、GreyNoiseによる脅威レポートでFortinetハードウェア、特にSSL VPNを標的としたブルートフォーストラフィックの大幅な急増が防御側に警告された直後に行われました。GreyNoiseによると、今月初めに780以上のユニークなIPアドレスがFortinet SSL VPNに対して認証情報のブルートフォースを試みているのを観測したとのことです。

GreyNoiseの調査によると、エッジテクノロジーに対する攻撃者の活動の顕著な急増は、標的となった技術における新たなCVEの公開の6週間以内にしばしば先行して発生します。このパターンは、GreyNoiseが分析した全体の5件中4件で見られました。

この脅威インテリジェンス企業は、Fortinet製品に対する悪意ある活動の急増が、同じ製品に影響を与えるCVEの公開とすぐに相関している事例を特に記録しています。

「GreyNoiseは、Fortinet SSL VPNに対するブルートフォース活動と、FortiSIEMに影響を与えるCVE-2025-25256の公開との間に直接的な因果関係があるとは確認できません」とGreyNoise Intelligenceのコンテンツ責任者であるNoah Stone氏はCyberScoopに語りました。「この急増とCVE-2025-25256の公開のタイミングが近いことは注目に値しますが、両者が関連していることを証明するものではありません。」

今月初めの活動が活発化した期間中、「観測されたトラフィックは当社のFortiOSプロファイルも標的としており、FortinetのSSL VPNに対する意図的かつ精密な標的化が示唆されます」とStone氏はブログ投稿で述べています。「これは偶発的なものではなく、集中した活動でした。」

GreyNoiseは過去1日間で55の悪意あるIPアドレスがFortinet SSL VPNを標的にしていることを観測しています。研究者たちは現時点で悪用を把握していませんが、エクスプロイトコードの存在は近いうちに状況が変わる可能性を示唆しています。

「実用的なエクスプロイトコードが公開されると、一般的に野放しでの悪用が加速します。なぜなら、技術的にあまり高度でない攻撃者にとっても障壁が下がるからです」とStone氏は述べています。

Fortinetはエクスプロイトコードの性質や、いつどのようにこの脆弱性を認識したかについて詳細を明らかにしていません。しかし、アドバイザリの中でこのセキュリティベンダーは「エクスプロイトコードは明確な侵害の兆候を生じさせないようだ」と述べています。

Fortinet製品の欠陥は、防御側にとって持続的なリスクとなり、攻撃者が被害者ネットワークに侵入するための繰り返し利用される経路となっています。このサイバーセキュリティベンダーはコメント要請には応じませんでした。

サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の既知の悪用済み脆弱性カタログには、2021年以降のFortinetの欠陥が20件含まれており、今年だけでも5件が追加されています。これらの脆弱性の大半(今年追加された3件を含む)は、CISAによればランサムウェア攻撃で使用されています。

VPN、ファイアウォール、ルーターなどのエッジテクノロジーは、Mandiantの今年初めに発表されたM-Trendsレポートによると、2024年で最も頻繁に悪用された脆弱性の上位4件を占めています。

そのうちの1つ、FortinetのFortiClient Endpoint Management ServerにおけるSQLインジェクション脆弱性CVE-2023-48788は、昨年Mandiantのインシデント対応業務全体で4番目に多く悪用された脆弱性でした。

Darktraceの研究者によると、もう1つのFortinetの脆弱性CVE-2024-47575(Fortinetのネットワーク管理ツールに影響する欠陥)は、昨年最も一般的に悪用された脆弱性の6件の1つだったとしています。

翻訳元: https://cyberscoop.com/fortinet-fortisiem-critical-vulnerability-ssl-vpn-brute-force-traffic/

Published in cyberscoop-com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です