フォーティネット製品が再び標的に

出典：Piotr Swat／Shutterstock

攻撃者に人気の標的となっているフォーティネットは、同社のFortiSIEMプラットフォームにおいて、認証不要の重大なリモートコード実行脆弱性を公表しました。この脆弱性の概念実証（PoC）エクスプロイトはすでに野放しで流通しており、差し迫った攻撃の可能性を示唆しています。

さらに懸念されるのは、GreyNoiseの研究者が、フォーティネットSSL VPNおよび多くの組織が集中管理に利用しているFortiManager集中管理プラットフォームを標的とした悪意ある活動の急増を検知したことです。過去にもこのようなトラフィックの増加は、対象製品に新たな脆弱性が発見・公表される前兆となっていました。

認証不要のリモート攻撃

フォーティネットが今週公表した新たな脆弱性、CVE-2025-25256は、OSコマンドインジェクションの脆弱性であり、認証されていないリモート攻撃者が、特別に細工されたコマンドラインインターフェース（CLI）リクエストを通じて、影響を受けるシステム上で任意のコードを実行できるものです。

この脆弱性は、FortiSIEMのバージョン5.4から7.3.1までのすべてのバージョンに影響します。フォーティネットは製品のアップデート版をリリースしており、組織に対して修正版へのアップデートまたは移行を推奨しています。また、回避策としてphMonitorポート（7900）へのアクセス制限も提案しています。「この脆弱性の実用的なエクスプロイトコードが野放しで発見されました」と同社は警告しています。

残念ながら、フォーティネットの顧客にとって、この脆弱性が悪用されても、特有の侵害インジケーターが生成されないため、デバイスの侵害を検知するのが困難です。

一方、グローバルなインターネット脅威活動を監視しているGreyNoiseは、今週、「重大かつ最近の急増」をフォーティネットSSL VPNに対するブルートフォーストラフィックで報告しました。このトラフィックは最大780のユニークなIPアドレスから発生しており、単なる機会的なものではなく、意図的かつ精密に標的を絞ったもののようです。

不穏な行動変化？

これらの攻撃は2つの明確な波で発生しています。最初の波は、フォーティネットのFortiGate次世代ファイアウォールデバイス上で動作するオペレーティングシステムであるFortiOSを標的としたブルートフォース攻撃で、多くのデバイスにはSSL VPN機能が含まれています。2つ目の波は、明らかに異なる挙動を示し、同社独自の FortiGate-to-FortiManager（FGFM）プロトコルを用いてFortiManagerを標的としました。

「これは攻撃者の行動の変化を示しており、同じインフラやツールセットが新たなフォーティネット向けサービスに切り替わった可能性があります」とGreyNoiseは述べています。つまり、個々のSSL VPNエンドポイントを狙うのではなく、攻撃者は集中管理インフラの侵害に注力し、複数のFortiGateデバイスへのアクセスを得ようとしているのです。

GreyNoiseによれば、過去にフォーティネット製品を標的とした同様の活動の急増は、脆弱性の公表と強い相関関係がありました。「このような急増は、同じベンダーに影響する新たな脆弱性の公表の前兆となることが多く、その多くは6週間以内に発生します」とGreyNoiseは述べています。実際、同様のトラフィック急増が観測された事例の80％で、その後CVEが公表されています。

フォーティネットの顧客にとって、新たな脆弱性と悪意あるトラフィックの急増は特に憂慮すべき事態です。攻撃者は、ここ数年、フォーティネット製品を執拗に狙ってきました。一度侵害されると、これらの技術が被害組織のネットワークに特権的なアクセスを提供するためです。

Tenableが今週のブログで指摘したように、米国サイバーセキュリティ・インフラセキュリティ庁（CISA）の「既知の悪用済み脆弱性（KEV）」カタログに掲載されているCVEのうち、最大20件がフォーティネットの脆弱性です。その中でも特に影響が大きいと同社が考えるのは、CVE-2025-32756で、これは複数の脅威グループがすでに悪用を開始した後、5月にフォーティネットが修正したゼロデイ脆弱性です。また、CVE-2024-55591は、複数のフォーティネット製品に存在する認証バイパスの脆弱性で、これもゼロデイとして攻撃者に悪用されました。さらに、CVE-2022-42475はバッファオーバーフローのバグで、国家支援グループを含む複数の脅威アクターによって悪用されました。さらに最近の例としては、CVE-2025-24472があり、これは認証バイパスの脆弱性で、攻撃者が影響を受けるシステムでスーパ管理者権限を取得できるものでした。