Fortinetは、FortiSIEMに存在するリモートの未認証コマンドインジェクション脆弱性について警告しており、実際に悪用可能なエクスプロイトコードが出回っているため、管理者は最新のセキュリティアップデートを適用することが重要です。
FortiSIEMは、ログ管理、ネットワークテレメトリ、セキュリティインシデントのアラートなどに使用される中央セキュリティ監視・分析システムであり、セキュリティオペレーションセンターの重要な一部として、IT運用チームやアナリストにとって不可欠なツールです。
この製品は、主に政府機関、大企業、金融機関、医療機関、マネージドセキュリティサービスプロバイダー(MSSP)によって利用されています。
この脆弱性はCVE-2025-25256として追跡されており、重大(CVSS: 9.8)と評価されていて、SIEMのバージョン5.4から7.3までの複数のブランチに影響します。
「FortiSIEMにおけるOSコマンドで使用される特殊要素の不適切な無害化(『OSコマンドインジェクション』)の脆弱性[CWE-78]により、未認証の攻撃者が細工したCLIリクエストを通じて不正なコードやコマンドを実行できる可能性があります」とFortinetは説明しています。
Fortinetはこの脆弱性がゼロデイとして悪用されたとは明言していませんが、実際に機能するエクスプロイトコードが存在することは確認しています。
「この脆弱性の実用的なエクスプロイトコードが実際に出回っています」とベンダーは述べています。
Fortinetによると、この脆弱性の悪用によってデバイスが侵害されたかどうかを判断するための特徴的なIOC(インジケータ・オブ・コンプロマイズ)は生成されません。
この発表は、GreyNoiseが今月初めにFortinet SSL VPNを標的としたブルートフォース攻撃の大幅な増加を警告し、その後FortiManagerへの切り替えがあった翌日に行われました。ネットワーク脅威インテリジェンス企業は、悪意のあるトラフィックの急増が新たな脆弱性の公表に先立って発生することが多いと警告しています。
FortinetによるCVE-2025-25256の公表がGreyNoiseの報告と関連しているかどうかは不明です。
エクスプロイトの概念実証(PoC)が入手可能であることから、組織はできるだけ早くCVE-2025-25256に対する最新のセキュリティアップデートを、以下のいずれかのFortiSIEMバージョンへアップグレードすることで適用する必要があります:
- FortiSIEM 7.3.2
- FortiSIEM 7.2.6
- FortiSIEM 7.1.8
- FortiSIEM 7.0.4
- FortiSIEM 6.7.10
FortiSIEMバージョン5.4から6.6もすべてのバージョンで脆弱ですが、これらは既にサポートが終了しており、今回の脆弱性に対するパッチは提供されません。古いFortiSIEMバージョンを管理している管理者は、より新しく、積極的にサポートされているリリースへの移行が推奨されます。
Fortinetはまた、ポート7900でのphMonitorへのアクセスを制限するという回避策も提示しており、これが悪意ある攻撃のエントリーポイントであることを示しています。
このような回避策は、リスクの露出を減らし、アップグレードまでの時間を稼ぐものであることに注意が必要です。しかし、根本的な脆弱性を修正するものではありません。
