4分で読む
出典:Danny Nebraska、Alamy Stock Photo経由
Fortinetのアプリケーションセキュリティ製品ラインであるBIG-IPの重大なセキュリティ脆弱性は、10月に高度な深刻度のサービス拒否(DoS)欠陥として最初に公開されたもので、現在野生で積極的に悪用されています。
Fortinetは土曜日、CVE-2025-53521をリモートコード実行(RCE)欠陥として再分類し、9.8のCVSSスコアを付けました。この脆弱性は最初に10月15日に公開およびパッチが適用されたもので、BIG-IP Access Policy Managerの非機能障害(DoS)バグとして説明されており、CVSSスコアは7.5でした。
2026年3月に得られた「新しい情報」のため、CVEはより高い深刻度のRCE欠陥として修正されました。これはFortinetの更新アドバイザリーによるものです。新しい情報が何を含んでいるかは明確ではありません。Dark ReadingはFortinetにコメントを求めましたが、発行時までに同社から返答がありませんでした。
CVE-2025-53521 Under Attack">CVE-2025-53521が攻撃下にある
Fortinetはまた、更新されたアドバイザリーでCVE-2025-53521が野生で悪用されていることを警告しました。米国サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)は金曜日、この欠陥を既知の悪用された脆弱性(KEV)カタログに追加しました。
Fortinetによると、脅威アクターはBIG-IP AMPで構成された仮想サーバーに「特定の悪意のあるトラフィック」を送信することで重大なバグを悪用でき、RCE機能を獲得することになります。
BIG-IP AMPバージョン17.5.0~17.5.1、17.1.0~17.1.2、16.1.0~16.1.6、および15.1.0~15.1.10は脆弱です。Fortinetはお客様に修正版へのアップグレードを促しました。 ネットワークセキュリティベンダーはまた、BIG-IPシステムがアプライアンスモードで実行されている場合でも、この欠陥に対して脆弱であると述べています。
Fortinetは別途、CVE-2025-53521に対する悪用活動の侵害指標(IoC)を公開しました。同社は、c05d5254として追跡される悪意のあるソフトウェアの正常な導入の場合、組織は/run/bigtlog.pipeおよび/run/bigstart.ltmなどのディスク上のファイル、ならびに既知の正常なバージョンの/usr/bin/umountおよび/usr/sbin/httpdのファイルサイズ、ハッシュ、およびタイムスタンプの不一致を検出できることに注意しました。
IoCSはまた、攻撃者が使用したログエントリ、コマンド、およびその他の戦術、手法、および手順も含まれていました。
一方、サイバーセキュリティベンダーのDefusedは、CISAのKEVカタログへの欠陥の追加に続いて、CVE-2025-53521のスキャン活動を観察したと述べています。
「このアクターは/mgmt/shared/identified-devices/config/device-infoをターゲットにしており、これはホスト名、マシンID、ベースMACアドレスなどのシステムレベル情報を取得するために使用されるF5 BIG-IP REST APIエンドポイントです。」とDefusedは金曜日にソーシャルメディアプラットフォームXへの投稿で述べました。
悪用活動がいつ始まったかは不明です。Defusedの創設者兼CEOであるSimo Kohonenは、Dark Readingに対し、同社のBIG-IPハニーポットが「ほぼ一貫して攻撃下にある」と述べています。しかし、同社は金曜日以降の脅威活動にいくつかの顕著な変化を観察したと述べており、これはF5インスタンスをフィンガープリントする新しい方法を含んでいます。
「一般的な大量エクスプロイター们は一貫して同じタイプのペイロードを使用していますが、過去1週間でペイロードへの軽微な逸脱を観察しました。これは、より多くのアクターがF5インフラストラクチャをマッピングしようとしていることを示唆しています。」とKohonen氏は述べています。
Fortinetのお客様にさらに多くの問題?
CVE-2025-53521に対する攻撃に加えて、Defusedは、FortiClientエンドポイント管理サーバ(EMS)に影響を与える別のFortinet脆弱性に対する悪用活動をフラグしました。CVE-2026-21643は2月6日に最初に公開およびパッチされた重大なSQL注入欠陥であり、攻撃者にRCE機能を与える可能性があります。
Defusedは土曜日に別のXへの投稿で、ハニーポットデータが悪用活動が4日前に始まったことを明かしたと述べました:「攻撃者はHTTPリクエスト内の「Site」ヘッダーを通してSQL文を密輸することができます。Shodanによると、ForticlientEMSの約1000個のインスタンスが公開されています。」
CISAはCVE-2026-21643をKEVカタログに追加していませんが、Fortinetはその特定のバグに対する悪用活動を確認していません。
Kohonen氏は、攻撃間に重複がないようだと述べています。「FortiClient脆弱性をターゲットにしているIPアドレスは、そのシステムのみを悪用することに専念しているようです。」と彼は述べています。「すべての受信攻撃に対して比較エンジンを実行して、観察されたIPが他のハニーポットタイプで見たことがあるかどうかを確認します。今のところ、すべてのIPはFortiClientに固有です。」
Fortinetの製品は、幅広い脅威アクターによって頻繁にターゲットになってきました。昨年、国家支援の攻撃者がFortinetを侵害し、BIG-IPプラットフォームのソースコードを含む機密データを盗みました。今年初め、脅威アクターはFortiCloudのシングルサインオン(SSO)機能を通じた顧客システムへのログインを許可した重大なゼロデイ欠陥を悪用しました。
CVE-2025-53521によってもたらされた増加したリスク、ならびにCVE-2026-21643に対する報告された悪用活動を考えると、Fortinetのお客様はソフトウェアを更新し、妥協の兆候がないかシステムを確認する必要があります。
