新年が始まってまだ数週間だが、2025年から続くこの傾向は依然として当てはまる。研究者がエッジデバイスにおけるより重大な脆弱性を掘り起こし、攻撃者はそれをすぐにハッキングに投入する。
最近では、FortinetのFortiSIEMセキュリティ情報・イベント管理(SIEM)アプライアンスにおける重大な欠陥もこれに含まれる。これは攻撃者がリモートから悪用でき、システムを完全に侵害して組織ネットワークへのアクセスを得ることが可能になる。
CVE-2025-64155として追跡されているこの問題について、セキュリティ企業Defusedは木曜日、Fortinetがセキュリティアラートを発行した直後から、同社のハニーポットで当該脆弱性を悪用する実環境(in-the-wild)でのアクティブな試行を検知し始めたと報告した。
攻撃の試行には中国のIPアドレスからの「強い活動」が含まれており、脆弱性が公開されてから「ほぼ即座に」多数の標的型攻撃が開始されたと、フィンランドのサイバーセキュリティ企業DefusedのCEO兼創業者であるSimo Kohonen氏が述べた。
脆弱性の詳細が公になったのは1月13日で、FortinetがOSコマンドインジェクションの脆弱性に関するセキュリティアドバイザリを発行し、修正のためのソフトウェア更新をリリースした。アラートは次のように述べている。CVE-2025-64155はFortiSIEM CloudおよびFortiSIEM 7.5を除くすべてのFortiSIEMバージョンに存在し、「細工されたTCPリクエストを介して、認証されていない攻撃者が不正なコードまたはコマンドを実行できる可能性がある」。
修正として、ベンダーは7.4.1、7.3.5、7.2.7、7.1.9をリリースした。7.0.x系および6.7.x系も脆弱だが、これらの系統向けの修正はリリースされず、Fortinetはユーザーに対し、サポートが継続されているバージョンという形で「修正済みリリースへ移行」するよう助言している。
同社によれば、緩和策として、ポート7900の「phMonitorへのアクセスを制限」することもできる。
この欠陥の発見功績はサイバーセキュリティ企業Horizon3にあり、同社は2025年8月14日にFortinetへ報告した。技術的な詳細解説でHorizon3は次のように述べた。Fortinetに対し、「認証不要の引数インジェクション脆弱性(任意ファイル書き込みにつながり、管理者ユーザーとしてのリモートコード実行を可能にする)」と、「ファイル上書きによる権限昇格脆弱性(root権限の取得につながる)」の両方を発見・報告し、ベンダーが1月13日のセキュリティ更新を公開するまでの153日間、この欠陥について公に言及するのを待った。
Horizon3は協調的脆弱性開示の中で、新たな欠陥を発見したのは、Fortinetが2025年8月にFortiSIEMアプライアンスのコマンドインジェクション脆弱性(CVE-2025-25256として追跡)に関するセキュリティアドバイザリをリリースした直後だったと述べた。
同社によれば、この欠陥はphMonitorサービスに存在する。phMonitorは、データをスーパーバイザーへ送るリモートコレクターから成るSIEMの各ロールが、TCP/IP上で送信されるカスタムAPIメッセージを用いて通信できるようにする。
また1月13日、Horizon3は当該脆弱性の概念実証(PoC)エクスプロイトコードをGitHubに公開した。
Horizon3のPoCは、CVE-2025-64155が「curlのようなツールのコマンドインジェクションを通じて完全なシステム乗っ取りを実現でき、認証されていない脅威アクターが、通常は管理者ユーザーのみが書き込み可能なファイルへリバースシェルのペイロードを書き込める」ことを示しており、その後さらに権限をrootへ昇格できると、サイバーセキュリティ企業Arctic Wolfが述べた。
この種の脆弱性の悪用を試みる攻撃を遮断する助けとして、FortinetはFortiSIEMの導入を、ファイアウォールで保護され、パブリックインターネットに直接露出しない「保護されたネットワークセグメント」に配置することを推奨している。
「このサービスをインターネットから隔離しておくことで攻撃対象領域が縮小され、CVE-2025-64155のような重大な脆弱性を通じて脅威アクターが初期アクセスを得ることを防げる」とArctic Wolfは述べた。
標的:エッジデバイス
Fortinetの脆弱性アラートは、国家支援グループ、ランサムウェア運用者、その他のサイバー犯罪者を含むあらゆる攻撃者がエッジデバイスを標的にしているという継続的な警告のさなかに出された。
サイバーセキュリティ企業VulnChecによる水曜日のレポートは、2025年に既知の悪用済み脆弱性を分析し、「ファイアウォール、VPN、プロキシを含むネットワークエッジデバイスが最も頻繁に標的となった技術であり、次いでコンテンツ管理システムとオープンソースソフトウェアだった」と結論づけた。
悪用活動は、脆弱性にCVE番号が割り当てられ、セキュリティアラートが公にリリースされた直後に急速に続くことが多い。
VulnCheckによれば2025年には、攻撃者が既知の悪用済み脆弱性の約30%を「CVEが公開された当日またはそれ以前」に悪用し始めており、脅威アクターが活動する速度、そして公表やCVE発行が行われる前に脆弱性が悪用されることが多い点を浮き彫りにしている。
新たな脆弱性に対する攻撃は迅速に展開し得る一方で、パッチ適用は、行われるとしても遅い場合がある。
今月初め、マルウェア、ボットネット、詐欺と戦う非営利のセキュリティ組織Shadowserver Foundationは、同団体のスキャンにより、ベンダーがセキュリティ修正を発行してから5年半以上が経過した現在も、1万台を超えるFortinetのファイアウォールがCVE-2020-12812に対して脆弱なままであることが判明したと警告した。
この報告は、FortinetのCISOであるCarl Windsorが2025年12月24日のブログ投稿で、同社は「特定の構成に基づき」、当該脆弱性が実環境で「最近悪用されているのを観測した」と警告したことに続くものだ。
特定の条件下では、攻撃者はこの脆弱性を悪用してFortiGateファイアウォールに、管理者およびVPNアカウントを含め、二要素認証を回避できる認証オプションを使用させることができる。
「この特定の認証動作は、LDAPディレクトリがそうではないのに、FortiGateがデフォルトでユーザー名を大文字小文字を区別するものとして扱うことによって引き起こされる」とWindsorは述べた。
FortinetがFortiOS 6.0.10、6.2.4、6.4.1として提供した修正(2020年7月のFG-IR-19-283セキュリティアラートに詳述)は、この種の攻撃を遮断する。しかしShadowserver Foundationが見いだしたように、多くの組織はいまだ脆弱なデバイスにパッチを適用していない。
更新をまだインストールしていない組織に向けて、Windsorは「他の誤設定されたLDAPグループ設定へのフェイルオーバーを防ぐ」ために取れる手順を詳述し、これによりこの特定の欠陥の悪用を阻止できるとした。
これまでパッチ適用に失敗してきた組織が、代わりに少なくともそのような緩和策を実施するのか、また実施するとしていつになるのかは、まだ分からない。
翻訳元: https://www.databreachtoday.com/attacks-target-freshly-patched-critical-fortinet-flaws-a-30575
