概要
セキュリティ企業Horizon3.aiは、Fortinetのセキュリティ情報およびイベント管理(SIEM)ソリューション「FortiSIEM」に存在する重大な脆弱性(CVE-2025-25256)の詳細と、実証的なエクスプロイトコードを公開しました。この脆弱性を悪用することで、リモートの認証されていない攻撃者がシステム上でコードやコマンドを実行する可能性があります。
脆弱性の詳細
CVE-2025-25256は、管理権限での任意書き込みと、root権限への昇格を可能にする2つの問題の組み合わせです。この脆弱性は、FortiSIEMのphMonitorサービスが、認証なしにリモートから呼び出し可能な多数のコマンドハンドラを公開していることに起因します。
Horizon3.aiの研究者たちは、2025年8月中旬にこのセキュリティ問題を報告しました。Fortinetは、2025年11月初旬に製品のほとんどの開発ブランチで修正を行い、今週、すべての脆弱なバージョンがパッチ適用されたことを発表しました。
影響を受けるバージョンと対策
この脆弱性は、FortiSIEMのバージョン6.7から7.5に影響を及ぼします。
修正済みバージョン
- FortiSIEM 7.4.1以降
- FortiSIEM 7.3.5以降
- FortiSIEM 7.2.7以降
- FortiSIEM 7.1.9以降
修正対象外のバージョン
FortiSIEM 7.0および6.7.0も影響を受けますが、すでにサポートが終了しているため、CVE-2025-25256の修正は提供されません。
影響を受けないバージョン
FortiSIEM 7.5およびFortiSIEM Cloudは、この脆弱性の影響を受けません。
回避策
セキュリティアップデートをすぐに適用できない場合、ベンダーが提供する唯一の回避策は、phMonitorポート(7900)へのアクセスを制限することです。
エクスプロイトコードの公開背景
Fortinetが修正を提供し、セキュリティアドバイザリを公開したことを受け、Horizon3.aiの研究者たちは、技術的詳細とともに実証的なエクスプロイトコードを共有することを決定しました。
過去の関連脆弱性との関連
Horizon3.aiの研究者たちは、phMonitorサービスが過去数年にわたり、CVE-2023-34992やCVE-2024-23108のようなFortiSIEMの複数の脆弱性の侵入経路となってきたと指摘しています。また、Black Bastaのようなランサムウェアグループがこれらの脆弱性に強い関心を示してきたことにも言及しています。
侵害の兆候(IoC)
Horizon3.aiは、システムが侵害されたかどうかを検出するための侵害の兆候(IoC)も共有しています。phMonitorのログ(/opt/phoenix/log/phoenix.logs)を確認し、’PHL_ERROR’を含む行にペイロードのURLと書き込まれたファイルが記載されている場合、侵害の可能性が示唆されます。