概要
Fortinetのセキュリティ情報およびイベント管理(SIEM)製品であるFortiSIEMに存在する重大な脆弱性「CVE-2025-64155」が、現在脅威グループによって積極的に悪用されていることが判明しました。この脆弱性は、概念実証(PoC)とアドバイザリが公開されてからわずか数日で標的となっています。
脆弱性の詳細
CVE-2025-64155は、オペレーティングシステムで使用される特殊な要素の不適切な無効化(Improper neutralization of special elements)に関するものです。この脆弱性を悪用することで、攻撃者はシステム上で未承認のコマンドを実行できる可能性があります。
この脆弱性は、Horizon3.aiの研究者によって2025年8月に最初に開示され、その後Fortinetは火曜日に公式アドバイザリをリリースしました。
過去の経緯とFortinetの対応
Defusedの研究者によると、この脆弱性に対する悪用試行がすでに複数のハニーポットで確認されています。
Horizon3.aiの主任攻撃エンジニアであるZach Hanley氏によると、今回の欠陥は、FortiSIEMのphMonitorに見つかった過去の複数の脆弱性(CVE-2023-34992およびCVE-2024-23108)と同様の「ストレージメカニズム(NFSまたはelastic)を決定する高レベル機能」に存在しているとのことです。
Fortinetはこれまでもこれらの問題に対処するための対策を講じてきましたが、「直接的に脆弱なコンポーネントに焦点が当てられており、隣接する攻撃対象領域には十分な対策が施されていなかった」とHanley氏は指摘しており、その努力は不十分であったようです。
脅威グループによる悪用
この脆弱性は、米サイバーセキュリティ・インフラセキュリティ庁(CISA)の既知の悪用済み脆弱性(KEV)カタログには正式に掲載されていませんが、研究者によって発見されたチャットログ内で脅威グループBlack Bastaがこれらの欠陥に言及していることが確認されています。
Fortinetの担当者からのコメントは、本記事公開時点では得られていません。