TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

FortinetとIvantiの新たなゼロデイが実環境で悪用される

FortinetとIvantiは、攻撃者が複数の製品に影響する新たなゼロデイ脆弱性を悪用しているとして、顧客に警告しました。

両社は5月13日、欠陥に関する個別のアドバイザリ(うち1件は重大)を公開し、できるだけ早く修正を適用するよう顧客に呼びかけました。

サイバーセキュリティベンダーのFortinetは、スタックベースのオーバーフロー脆弱性CVE-2025-32756の詳細を提供しました。細工されたHTTPリクエストにより、リモートの未認証攻撃者が任意のコードまたはコマンドを実行できる可能性があります。

この欠陥には、重大なCVSSスコア9.6が付与されています。

この脆弱性は、次のFortinet製品に影響します:FortiVoice、FortiMail、FortiNDR、FortiRecorder、FortiCamera。

同社は、この欠陥がFortiVoiceにおいて実環境で悪用されているのが確認されたと述べました。

Fortinetが観測したケースでは、脅威アクターは被害デバイス上で次のような一連の操作を実行できました:

  • デバイスのネットワークをスキャンする
  • システムのクラッシュログを消去する
  • fcgiデバッグを有効化し、システムからの認証情報やSSHログイン試行をログに記録する

脅威アクターの身元に関する情報は提供されていません。

Fortinetはまた、顧客が悪用の兆候を確認できるよう、ログやIPアドレスを含む侵害指標(IOC)リストも提供しました。

システムでfcgiデバッグが有効になっているか確認するには、顧客はCLIコマンド「diag debug application fcgi」を使用してください。

出力に「general to-file ENABLED」と表示される場合、fcgiデバッグが有効になっています。

Fortinetはこの脆弱性に対するパッチを公開しており、顧客には修正を適用するためにツールをアップグレードするよう強く求めています。

組織は一時的な回避策として、HTTP/HTTPSの管理インターフェースを無効化することもできます。

Ivantiがオープンソースの脆弱性を開示

Ivantiは、自社製品に影響する新たに発見された2件の脆弱性の詳細を提供しました。1件は中程度(CVE-2025-4427)、もう1件は高深刻度(CVE-2025-4428)です。

これらはいずれもIvanti Endpoint Managerと、同製品に統合されている2つのオープンソースライブラリに影響します。

Ivantiは、より広範なセキュリティエコシステムの利益のため、当該ライブラリに対してCVEを割り当てるべきかどうかを判断するため、ライブラリのメンテナーと協力していると述べました。 

このITソフトウェアプロバイダーは、これらを連鎖させた場合、悪用に成功すると未認証のリモートコード実行につながる可能性があると警告しました。

同社は「開示時点で、ソリューションが悪用された顧客はごく限られた数であることを把握しています」と記しました。

顧客はできるだけ早く、製品の修正版をインストールする必要があります。

侵害リスクを低減するための回避策もいくつか用意されており、組み込みのPortal ACL機能または外部WAFのいずれかを用いてAPIへのアクセスをフィルタリングすることなどが含まれます。

ベンダーは「許しがたい」脆弱性について責任を問われなければならない

5月に開催されたCYBERUK 2025カンファレンスでの講演で、National Cyber Security Centre(NCSC)のCTOであるOllie Whitehouseは、製品に影響する重大なセキュリティ欠陥について、ソフトウェアベンダーの責任を追及する必要性が差し迫っていると述べました。

彼は、テクノロジー市場は現状、セキュア・バイ・デザインの製品構築に多大なリソースを投じる企業に報いる仕組みになっていないと主張しました。

Whitehouseは「エッジネットワーク機器やセキュリティ機器には、許しがたい脆弱性が依然として数多く存在している」とコメントしました。

さらに彼は「私たちを助け、守るはずの製品にさえ許しがたい種類の脆弱性があるのなら、どうして異なる結果を期待できるのか?」と付け加えました。

今すぐ読む:2024年から学ぶ:リモートアクセス技術に対する前例のない悪用

英国政府は、消費者の理解を促すためのガイドライン活用の拡大などを通じて、これらの製品におけるより強固なセキュリティに向けた市場インセンティブを生み出す取り組みを進めています。

CYBERUKでは、政府が、企業がサイバーレジリエンスを示し、組織が利用する製品・サービスへの信頼を高められるようにするための2つの新しいサイバーセキュリティ評価制度を発表しました。

そのうちの1つであるCyber Resilience Test Facilities(CTFR)プログラムは、テクノロジーベンダーの製品のサイバーセキュリティを、一貫性があり構造化された方法で独立して監査できる、保証された施設のネットワークを構築します。

翻訳元: https://www.infosecurity-magazine.com/news/fortinet-ivanti-zero-days/

ソース: infosecurity-magazine.com
#CVE-2025-32756 #CYBERUK 2025 #Fortinet #FortiVoice #Ivanti #Ivanti Endpoint Manager #NCSC(英国国家サイバーセキュリティセンター) #インジケータ・オブ・コンプロマイズ(IOC) #ゼロデイ脆弱性 #リモートコード実行(RCE)

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新